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岂 汲 入 表 


随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 ,各 地 高 校 紧 密 结合 地 方 
经 济 建设 发 展 需要 ,科学 运用 市 场 调节 机 制 , 加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 \ 改 
造 传统 学 科 专业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 , 积 极为 地 方 经 济 建设 输送 人 才 ,为 我 国 经 济 社 会 的 快速 、 健 康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合理 ,教师 队伍 整体 素质 亚 待 提高 ,人 才 培 
养 模式 ,教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 亚 待 加 强 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 《关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 》, 计 划 实 施 “高 等 学 校本 科教 学 质量 与 教学 改革 
工程 (简称 “质量 工程 ')”, 通 过 专业 结构 调整 ,课程 教材 建设 、 实 践 教学 改革 、 教 学 团队 建设 
等 多 项 内 容 , 进 一 步 深化 高 等 学 校 教学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 
社会 发 展 对 高 素质 人 才 的 需要 。 在 贯彻 和 落实 教育 部 "质量 工程 的 过 程 中 ,各 地 高 校 发 挥 
师资 力量 强 、 办 学 经 验 丰富 ,教学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 , 更 新 教学 内 容 改革 课程 体系 ,建设 了 一 大 批 内 容 新 、 体 系 新 方法 新 .手段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 ,分 别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
足 各 高 校 教学 质量 和 教学 改革 的 需要 。 

本 系列 教材 立足 于 计算 机 公共 课程 领域 ,以 公共 基础 课 为 主 、 专 业 基础 课 为 辅 ,横向 满 
足 高 校 多 层次 教学 的 需要 。 在 规划 过 程 中 体现 了 如 下 一 些 基本 原则 和 特点 。 

(1) 面向 多 层次 .多 学 科 专业 ,强调 计算 机 在 各 专业 中 的 应 用 。 教 材 内 容 坚 持 基本 理论 
适度 ,反映 各 层次 对 基本 理论 和 原理 的 需求 ,同时 加 强 实践 和 应 用 环节 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 内 容 
和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 力 与 实践 
能 力 的 培养 ,为 学 生 的 知识 、 能 力 素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 ,保证 质量 。 规 划 教 材 把 重点 放 在 公共 基础 课 和 专业 基础 
课 的 教材 建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 
版 ,逐步 形成 精品 教材 ; 提倡 并 鼓励 编写 体现 教学 质量 和 教学 改革 成 果 的 教材 。 

(4) 主张 一 纲 多 本 ,合理 配套 。 基 础 课 和 专业 基础 课 教 材 配 套 , 同 一 门 课程 可 以 有 针对 
不 同 层次 、 面 向 不 同 专业 的 多 本 具有 各 自 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 , 基 
本 教材 与 辅助 教材 .教学 参考 书 , 文 字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 配套 。 
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(5) 依靠 专家 ,择优 选用 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主题 。 书 稿 完成 后 要 认真 实行 审 稿 程序 ,确保 出 书 质 量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 教材 编写 梯队 才能 
保证 教材 的 编写 质量 和 建设 力度 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队伍 
中 来 。 


21 世纪 高 等 学 校 计 算 机 基础 实用 规划 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 
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本 书 的 编者 都 是 高 校 的 一 线 教师 ,都 有 多 轮 执教 网 络 管理 及 其 相关 课程 的 实际 经 验 , 本 
书 也 已 经 在 所 在 学 校内 部 使 用 两 轮 。 本 书面 向 应 用 型 本 科 ,注重 应 用 ,兼顾 理论 。 吸 收 最 新 
的 网 络 管理 应 用 技术 ,使 读者 能 学 以 致 用 。 

本 书 内 容 包括 网 络 管理 概述 .SNMP 网 络 管理 架构 .用户 管理 、 磁 盘 管 理 , 文 件 管理 .IP 
地 址 规划 与 DHCP 服务 ,域名 服务 管理 Internet 信息 服务 管理 、 网 络 设备 管理 、 数 据 备份 
与 还 原 、 网 络 安全 管理 .网 络 故障 诊断 和 排除 等 。 

本 书 的 特点 如 下 : 

(1) 本 书 案例 化 编写 ,把 对 知识 技能 的 讲授 融 汇 在 案例 中 。 在 问题 的 解决 过 程 中 学 习 
知识 和 技能 ,在 实际 应 用 场景 中 学 习 知 识 技 能 。 

(2) 本 书 从 学 习 者 的 角度 看 问题 ,从 读者 熟悉 的 知识 场景 提出 问题 ,然后 分 析 问 题 , 解 
决 问题 ,引导 读者 从 已 知 到 未 知 。 每 章 都 从 设 问 开始 ,引导 读者 带 着 问题 读 下 去 ,改变 了 平 
铺 直 叙 .单纯 讲授 知识 点 的 方法 。 

(3) 每 章 都 有 总 结 和 练习 ,便于 教学 。 

(4) 本 书 的 案例 均 在 微软 公司 的 Windows Server 2008 操作 系统 上 实现 。 

本 书 由 攀 成 立 \ 潘 凌 , 刘 庆 瑜 . 齐 跃 斗 编写 。 在 撰写 过 程 中 得 到 了 张 文 婷 、 庞 美玉 、 王 胶 
阁 、 金 还 等 的 帮助 ,在 此 向 他 们 表示 感谢 。 

由 于 本 书 编者 水 平 有 限 , 书 中 难免 会 有 错误 和 不 足 之 处 ,和 敬 请 专家 和 读者 给 予 批评 指 
正 。 我 们 的 E-mail:fanchengli@163. com。 


编 者 
2015 年 12 月 
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第 1 章 网 络 管理 概述 


1.1 导语 : 信息 时 代 下 的 网 络 管理 


近 几 年 来 ,网 络 技术 的 发 展 速度 是 惊人 的 ,发 达 的 网 络 技术 ,给 整个 社会 产生 了 深刻 的 
影响 ,也 极 大 地 改变 了 人 们 的 工作 和 生活 方式 。 听 广播 .看 电视 、 收 发 电子 邮件 、 上 网 查询 信 
息 、 网 上 购物 ,人 们 已 经 一 刻 也 离 不 开 网 络 了 。 除 此 以 外 , 随 着 计算 机 技术 和 计算 机 网 络 的 
发 展 ,政府 部 门 ,企业 以 及 各 行 各 业 也 开始 大 规模 地 建立 网 络 来 推动 电子 政务 和 电子 商务 的 
发 展 。 网 络 成 为 各 行业 办 公 、 业 务 开展 、 通 信 的 基础 平台 。 

伴随 着 网 络 业 务 和 应 用 的 丰富 ,计算 机 网 络 的 管理 与 维护 也 就 变 得 至 关 重要 ,一 个 小 小 
的 网 络 故障 就 可 能 导致 “雪崩 效应 ”, 因 此 对 网 络 进 行 有 效 的 管理 成 为 现在 信息 社会 中 非常 
迫切 的 需要 。 越 来 越 多 的 人 意识 到 : 网 络 管理 已 经 成 为 计算 机 网 络 的 关键 技术 之 一 。 


1.2 网 络 管理 的 基本 概念 


在 社会 经 济 生 活 中 ,计算 机 网 络 的 应 用 越 来 越 广泛 ,规模 不 断 扩大 ,计算 机 网 络 的 组 成 
也 越 来 越 复杂 ,网 络 安全 性 与 运行 状况 也 越 来 越 受 到 重视 ,相应 地 网 络 管理 就 成 为 网 络 技术 
应 用 中 最 为 重要 的 一 部 分 ,成 为 网 络 可 靠 、 安 全 、 高 效 运行 的 保障 和 必要 手段 。 因 此 研究 网 
络 管 理 的 理论 、 开 发 先进 的 网 络 技 术 、 选 择 自动 化 的 网 络 管理 工具 就 成 了 网 络 管理 的 重要 
任务 。 


1.2.1 网 络 管理 的 定义 


网 络 管理 的 发 展 是 一 个 循序 渐进 、 逐 步 完 善 提 升 的 过 程 . 从 所 采用 的 技术 手段 来 划分 ， 
网 络 管理 大 致 来 说 要 经 历 3 个 阶段 : 人 工 管理 阶段 .计算 机 辅助 管理 阶段 、 智 能 化 管理 阶 
段 。 每 个 阶段 在 管理 组 织 ,管理 手段 .管理 技术 措施 上 都 有 所 侧重 ,主要 在 网 络 管理 组 织 健 
全 程度 、 网 络 管理 工作 规范 性 、 网 络 管理 技术 措施 自动 程度 等 方面 表现 出 来 。 

按照 国际 标准 化 组 织 (ISO) 的 定义 ,网 络 管理 就 是 指 规划 、 监 督 .控制 网 络 资源 的 使 用 
和 网 络 的 各 种 活动 ,以 使 网 络 的 性 能 达到 最 优 。 即 对 计算 机 及 网 络 设备 的 软 硬 件 配置 .运行 
状态 和 计 费 等 所 从 事 的 全 部 操作 和 维护 性 活动 。 

从 网 络 管理 定义 中 ,可 以 看 出 网 络 管理 的 对 象 就 是 网 络 资源 ,包括 软件 和 硬件 资源 。 

1. 网 络 硬件 资源 

网 络 硬件 资源 可 以 是 各 种 计算 机 网 络 连接 节点 设备 ,如 路 由 器 、 交 换 机 、 集 线 器 
(CHUB) 网关、 终端 主机 .UPS 电源 等 ,也 可 以 是 通信 系统 中 的 传输 设备 ,如 用 于 多 路 复 用 
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中 的 多 路 器 MUX. 信 号 转换 设备 光电 转换 器 .PDH/SDH 传输 设备 等 。 

2. 网 络 软件 资源 

网 络 软件 资源 主要 指 计算 机 网 络 中 面向 用 户 提供 的 各 种 应 用 性 业务 (如 应 用 程序 、 服 务 
器 系统 ) 及 网 络 节点 之 间 的 关系 (如 物理 拓扑 图 和 届 辑 拓扑 图 ) 。 

网 络 上 的 硬件 资源 是 物理 上 存在 的 客观 实体 ,是 网 络 人 员 看 得 见 、 摸 得 着 的 ,具备 最 基 
本 的 机 械 特 性 和 电气 特性 ,因此 对 它们 可 以 从 底层 入 手 进行 管理 ,而 软件 系统 资源 中 ,对 象 
的 物理 存在 形式 不 明显 ,各 种 参数 具备 动态 性 和 不 确定 性 ,目前 已 成 为 管理 对 象 中 的 重 中 
之 和 下， 

通常 对 一 个 网 络 管理 系统 需要 定义 以 下 内 容 。 

。 系统 功能 : 即 一 个 网 络 管理 系统 应 具有 哪些 功能 。 
网 络 资源 表示 : 网 络 管理 中 有 很 大 一 部 分 是 对 网 络 中 资源 的 管理 。 网 络 中 的 资源 
就 是 指 网 络 中 的 硬件 软件 及 所 提供 的 服务 等 。 而 一 个 网 络 管理 系统 必须 在 系统 中 
将 资源 表示 出 来 ,才能 对 其 进行 管理 。 
网 络 管理 信息 的 表示 : 网 络 管理 系统 对 网 络 的 管理 主要 靠 系统 中 网 络 管理 信息 的 
传递 来 实现 。 网 络 管理 信息 应 如 何 表 示 、 怎 样 传递 ,传送 的 协议 是 什么 ? 这 些 都 是 
一 个 网 络 管理 系统 必须 考虑 的 问题 。 
。 系统 结构 : 即 网 络 管理 系统 的 结构 是 怎样 构建 的 。 


1.2.2 网 络 管理 的 目标 和 内 容 


网 络 管理 要 达到 一 个 什么 样 的 目标 呢 ? 

从 定义 上 来 看 网 络 管理 目的 很 明确 ,就 是 确保 计算 机 网 络 的 持续 正常 运行 ,并 在 计算 机 
网 络 运行 出 现 异 常 时 能 及 时 响应 并 排除 故障 ,使 网 络 中 的 资源 得 到 更 加 有 效 的 利用 。 

下 面 从 网 络 经 营 者 以 及 用 户 对 网 络 的 基本 要 求 这 个 角度 进行 分 析 。 

第 一 ,一 个 网 络 首先 要 具备 的 是 有 效 性 , 即 网 络 要 能 准确 及 时 地 传递 信息 。 这 里 说 的 有 
效 性 与 通信 的 有 效 性 (efficiency) 含 义 不 同 。 通 信 的 有 效 性 是 指 传递 信息 的 效率 。 而 这 里 
所 说 的 网 络 有 效 性 ,是 指 网 络 的 服务 要 可 用 ,要 有 质量 保证 。 

第 二 ,网 络 应 该 是 可 靠 的 。 网 络 必须 保证 能 够 稳定 地 运转 ,不 能 时 断 时 续 , 要 对 各 种 故 
障 以 及 自然 灾害 有 较 强 的 抵御 能 力 和 有 一 定 的 自 愈 能 力 。 在 许多 场合 下 ,网 络 的 中 断 会 产 
生 很 大 的 经 济 损失 ,有 时 甚至 会 产生 政治 上 军事 上 的 重大 损失 。 

第 三 ,现代 网 络 应 该 具有 开放 性 。 即 网 络 要 能 够 容纳 多 厂商 生产 的 设备 ,不 同 的 网 络 要 
能 够 实现 互联 。 这 是 现代 网 络 高 速 发 展 ,技术 进步 快 .生产 厂商 多 .设备 更 新 换代 周期 短 等 
特点 所 要 求 的 。 

第 四 ,网 络 要 有 综合 性 。 现 代 网 络 业务 不 能 单一 化 .要 由 电信 和 网、 计算 机 网 广播 电视 网 
分 立 的 状态 向 融合 网 络 (convergence network) 过 渡 , 使 各 种 不 同 的 业务 由 统一 的 网 络 平台 
提供 。 网 络 的 综合 性 会 给 网 络 经 营 者 带 来 更 大 的 经 济 效益 ,同时 也 给 用 户 带 来 更 大 的 方便 ， 
使 人 们 的 通信 方式 更 多 样 . 更 自然 、 更 快捷 。 

第 五 ,现代 网 络 要 有 很 高 的 安全 性 。 随 着 人 们 对 网 络 依赖 性 的 增强 ,对 网 络 安全 性 的 要 
求 也 越 来 越 高 。 比 如 ,用 户 要 求 网 络 有 较 高 的 通话 保密 性 、 要 求 连接 到 网 上 的 计算 机 系统 有 
安全 保障 ,数据库 中 的 数据 不 能 被 非法 访问 和 破坏 .系统 不 能 被 非法 入 侵 或 病毒 侵害 等 。 


第 六 ,网 络 要 有 经 济 性 。 对 网 络 经 营 者 而 言 ,网 络 的 建设 运营、 维护 等 开支 要 小 于 业务 
收入 ,否则 便 无 利 可 图 。 对 用 户 来 说 ,网 络 业务 要 有 合理 的 价格 ,如 果 价 格 太 高 用 户 承 受 不 
起 ,或 虽然 能 承受 得 起 但 感到 付出 的 费用 超过 了 业务 的 价值 ,那么 用 户 便 会 拒绝 应 用 这 些 
业务 。 

基于 上 述 分 析 , 网 络 管理 的 根本 目标 就 是 满足 运营 者 及 用 户 对 网 络 的 有 效 性 、 可 靠 性 、 
开放 性 、 综 合 性 、 安 全 性 和 经 济 性 的 要 求 。 

现代 网 络 管理 的 内 容 通 常 包 括 运行 .控制 ,维护 和 提供 (OAMP)4 个 方面 。 

(1) 运行 (Operation) : 是 指针 对 用 户 的 需要 而 提供 的 服务 ,其 目标 是 对 网 络 的 整体 运 
行 状态 进行 管理 ,包括 对 用 户 的 流量 和 计 费 进行 管理 等 。 

(2) 控制 (Administrator) : 是 指针 对 向 用 户 提 供 的 有 效 服务 ,为 满足 服务 质量 要 求 进 
行 的 管理 活动 ,如 针对 整个 网 络 的 管理 和 网 络 流量 的 管理 等 。 

(3) 维护 (Maintance) : 是 指 为 保障 网 络 及 其 设备 的 正常 可靠. 连续 ,稳定 地 运行 而 进 
行 的 管理 活动 ,如 故障 的 检测 .定位 和 恢复 ,对 网 络 的 测试 等 。 维 护 又 可 分 为 预防 性 维护 和 
修正 性 维护 两 类 。 

(4) 提供 (Provision) : 是 指 网 络 资源 的 提供 者 (如 电信 运营 商 ) 所 进行 的 管理 活动 ,如 
管理 相应 的 服务 软件 .配置 参数 等 。 


1.3 网 络 管理 的 功能 


国际 标准 化 组 织 ISO 在 OSIIEC 7498 一 4 中 定义 了 网 络 管理 的 五 大 功能 ,分 别 如 下 : 

。 配置 管理 (Configuration Management) 一 一 自动 发 现 网 络 拓 扑 结构 ,构造 和 维护 网 
络 系统 的 配置 。 

。 性 能 管理 (Performance Management) 一 一 采集 、 分 析 网 络 对 象 的 通信 性 能 数据 , 监 
测 网 络 对 象 的 性 能 ,对 网 络 线路 质量 进行 分 析 。 同 时 ,统计 网 络 运行 状态 信息 ,对 网 
络 的 使 用 发 展 做 出 评测 、 估 计 ,为 网 络 进一步 规划 与 调整 提供 依据 。 

。 故障 管理 (Fault Management) 一 一 过 滤 、 归 并 网 络 事 件 。 有 效 地 发 现 、 定 位 网 络 故 
障 ,给 出 排 错 建 议 与 解决 方案 ,形成 整套 的 故障 发 现 、 告 警 与 处 理 机 制 。 

。 安全 管理 (Security Management) 一 一 结合 使 用 用 户 认 证 、 访 问 控 制 .数据 传输 、 存 
储 的 保密 与 完整 性 机 制 ,以 保障 网 络 管理 系统 本 身 的 安全 。 

。 计 费 管理 (Accounting Management) 一 一 对 网 络 互联 设备 按 IP 地 址 的 双向 流量 统 
计 , 产 生 多 种 信息 统计 报告 及 流量 对 比 ,并 提供 网 络 计 费 工具 ,以 便 用 户 根据 自 定义 
的 要 求实 施 网 络 计 费 。 

每 个 网 络 管理 功能 中 都 包含 了 一 系列 功能 定义 .与 每 个 功能 相关 的 一 系列 过 程 的 定义 、 

支持 这 些 过 程 的 服务 .所 需要 的 下 层 服务 支持 .管理 操作 的 作用 对 象 。 


1.3.1 配置 管理 


配置 管理 是 最 基本 、 最 核心 的 网 络 管理 功能 。 配 置 管理 负责 监控 网 络 的 基本 配置 信息 ， 
使 网 络 管理 人 员 可 以 根据 需要 随时 查询 .生成 和 修改 软 硬 件 的 运行 状态 及 参数 ,以 保障 网 络 
的 正常 运行 。 具 体 地 讲 , 就 是 在 网 络 建立 .运行 .扩充 及 改造 的 过 程 中 ,对 网 络 的 拓扑 结构 、 
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软 硬 件 资源 、 使 用 状态 等 相关 配置 信息 进行 监测 ,维护 和 修改 ,以 达到 优化 网 络 的 目的 。 

一 般 情况 下 ,网 络 管理 员 对 所 管理 的 网 络 配 置 应 该 非常 清楚 ,这 些 配 置 包括 网 络 拓扑 、 
网 络 的 规模 、 网 络 覆盖 的 范围 .网络 的 布线 和 网 络 各 节点 的 参数 情况 等 , 男 外 还 应 该 包括 网 
络 中 所 采用 的 访问 控制 方式 、 是 有 线 网 络 还 是 无 线 网 络 、 有 线 网 络 采 用 何 种 传输 介质 等 。 

配置 管理 的 主要 功能 是 检测 感知 网 络 中 发 生 的 变化 和 根据 需要 控制 并 使 网 络 发 生 需 要 
的 变化 ,主要 包括 以 下 功能 。 

(1) 配置 信息 自动 获取 ; 

(2) 自动 配置 、 自 动 备份 及 相关 技术 ; 

(3) 配置 一 致 性 检查 ; 

(4) 用 户 操作 记录 功能 ， 

(5) 网 络 资源 的 清单 管理 和 视图 化 表示 ; 

(6) 虚拟 局 域 网 (VLAN) 管 理 ; 

(7) IP 地 址 资源 分 配 与 管理 IP 地 址 与 MAC 对 应 及 IP 冲突 管理 。 


1.3.2 性 能 管理 


性 能 管理 的 目的 是 确保 网 络 不 会 出 现 过 度 拥挤 的 情况 ,保障 可 用 性 ,为 用 户 提 供 良好 的 
网 络 服务 质量 QoS。 网 络 性 能 管理 的 主要 工作 是 收集 各 种 网 络 性 能 指标 的 数据 ,作为 对 网 
络 运行 状况 进行 分 析 的 原始 资料 。 通 过 分 析 , 判 断 网 络 的 性 能 是 否 达 到 了 规定 的 指标 。 如 
果 未 达到 相应 的 指标 要 求 , 则 需要 进行 适当 的 调整 ,保障 整个 网 络 系统 良好 地 运行 。 

性 能 管理 又 可 以 分 为 性 能 监测 和 网 络 控制 。 性 能 检测 就 是 指针 对 网 络 的 工作 状态 , 收 
集 、 统 计 、 分 析 相 关 的 数据 ,根据 性 能 检测 的 结果 可 以 改进 性 能 评价 的 标准 ,调整 性 能 检测 模 
型 ,为 网 络 控制 提供 依据 ; 网 络 控制 是 指 根据 网 络 检测 的 结果 ,为 改善 网 络 性 能 而 采取 的 
措施 。 

网 络 性 能 管理 可 以 实现 以 下 功能 。 

(1) 对 网 络 中 管理 对 象 进行 检 测 ,收集 与 网 络 性 能 相关 的 数据 。 这 些 数据 可 以 包括 流 
量 、 延 迟 、 丢 包 率 、CPU 利用 率 、 温 度 .内 存 余 量 等 。 

(2) 记录 、 统 计 、 维 护 和 收集 到 的 网 络 性 能 数据 。 

(3) 可 对 每 一 个 监控 数据 设置 阔 值 ,可 通过 设置 阔 值 检查 开关 控制 阔 值 检查 和 告警 , 提 
供 相 应 的 国 值 管理 和 溢出 告警 机 制 。 

(4) 分 析 网 络 性 能 数据 以 发 现 网 络 瓶 颈 , 产 生性 能 警报 .报告 性 能 事件 等 ,并 参考 计算 
机 各 项 性 能 指标 ,对 性 能 状况 做 出 判断 ,为 网 络 规划 提供 参考 。 

通常 可 以 使 用 网 络 操作 系统 中 的 性 能 监视 工具 来 监视 网 络 的 性 能 。 除 此 以 外 ,比较 典 
型 的 网 络 性 能 检测 软件 有 HP 公司 的 OpenView、IBM Tivoli 公司 的 NetView、 原 Sun 公司 
的 SUN Net Manager 等 。 


1.3.3 故障 管理 


故障 管理 是 网 络 管理 基本 的 内 容 . 其 目的 在 于 确保 网 络 系统 可 靠 、 稳 定 地 运行 。 在 网 络 
发 生 故 障 时 ,网 络 管理 员 必 须 及 时 地 进行 故障 定位 ,排除 故障 ,恢复 网 络 的 正常 运行 。 故 障 
管理 的 日 常 工作 包括 故障 检测 .故障 诊断 故障 修复 故障 事件 的 追踪 、 定 位 与 记录 以 及 故障 


的 排除 等 。 

故障 管理 在 网 络 的 规划 和 设计 时 就 应 实施 ,一 个 规划 合理 的 网 络 应 该 不 易 出 现 故障 ,一 
且 出 现 故障 也 应 该 易于 排除 。 网 络 故障 管理 主要 包括 以 下 功能 : 

(1) 实时 进行 网 络 故障 监测 。 监 测 网 络 上 的 各 种 事件 信息 ,并 识别 出 其 中 与 网 络 和 系 
统 故 障 相关 的 内 容 , 生 成 网 络 故 障 时 间 记 录 。 

(2) 当 出 现 故障 时 能 及 时 报警 。 可 以 根据 报警 信息 迅速 找 出 故障 点 。 

(3) 分 析 故 障 信息 。 在 此 基础 上 制定 故障 排除 方案 。 

(4) 实施 故障 排除 作业 以 恢复 网 络 运行 。 

系统 出 现 的 各 种 故障 一 般 都 会 记录 在 管理 日 志 中 ,所 以 在 故障 管理 中 对 日 志 的 维护 和 
分 析 也 很 重要 。 


1.3.4 安全 管理 


网 络 安全 是 指 包括 网 络 设备 、 网 络 通信 协议 和 网 络 管理 系统 在 内 的 所 有 支持 网 络 系统 
运行 的 硬件 与 软件 总 体 的 安全 。 网 络 安全 管理 的 目标 是 确保 网 络 的 保密 性 、 网 络 的 可 用 性 、 
网 络 的 完整 性 、 网 络 的 可 控制 性 ,使 其 不 至 于 因 网 络 设备 、 网 络 通信 协议 .网络 管 理 系统 等 受 
到 人 为 或 自然 因素 的 危害 ,而 导致 网 络 传输 信息 丢失 、 汇 露 或 破坏 。 

安全 管理 的 功能 主要 分 为 两 部 分 : 一 是 网 络 管理 本 身 的 安全 ; 二 是 被 管 网 络 对 象 的 安 
全 。 网 络 管理 本 身 的 安全 可 通过 管理 员 身 份 认证 ,管理 信息 存储 和 传输 的 加 密 与 完整 性 控 
制 、 网 络 用 户 分 组 管理 与 访问 控制 以 及 系统 日 志 分 析 等 机 制 来 保证 。 被 管 网 络 对 象 的 安全 
可 通过 网 络 资源 的 访问 控制 .告警 事件 分 析 、 主 机 系统 的 安全 漏洞 检测 等 机 制 来 保证 。 

安全 管理 的 主要 功能 如 下 : 

(1) 支持 身份 识别 ,规定 身份 识别 的 过 程 ; 

(2) 支持 访问 控制 ; 

(3) 支持 密 钥 管理 ; 

(4) 维护 和 检查 安全 日 志 。 


1.3.5 计 费 管理 


计 费 管理 是 用 来 核算 和 收取 费用 的 , 它 在 共享 资源 的 网 络 环境 中 是 非常 有 用 的 。 计 费 
管理 系统 对 于 大 型 网 络 和 中 、 小 型 网 络 来 说 都 是 不 可 缺少 的 重要 组 成 部 分 ,在 这 些 网 络 中 运 
营 商会 根据 用 户 的 网 络 资源 的 使 用 情况 收取 一 定 的 费用 。 计 费 管理 所 涉及 的 网 络 资源 包括 
硬件 资源 和 软件 资源 、 网 络 服务 及 网 络 设施 的 额外 开销 ,如 运行 维护 费 等 。 

计 费 系统 还 可 用 来 监控 网 络 的 数据 流量 ,分 析 网 络 的 使 用 情况 及 性 能 ,帮助 网 络 管理 员 
发 现 网 络 的 瓶颈 ,从 而 调整 网 络 的 结构 和 配置 ,合理 分 配 网 络 流量 ,保证 网 络 高 效 、 稳 定 、 可 
靠 地 运行 。 

计 费 管理 提供 的 主要 功能 如 下 : 

(1) 计 费 数据 采集 。 这 是 整个 计 费 系统 的 基础 ,也 往往 受到 采集 设备 硬件 和 软件 的 制 
约 , 而 且 也 与 进行 计 费 的 网 络 资源 有 关 。 

(2) 数据 管理 与 数据 维护 。 例 如 交纳 费用 的 输入 、 联 网 单位 信息 维护 等 。 

(3) 计 费 政策 的 制定 。 计 费 政策 经 常 灵活 变化 .要 根据 资源 使 用 情况 调整 收费 标准 。 
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(4) 收集 ,总 结 、 分 析 和 表示 计 费 信息 所 用 格式 和 手段 的 标准 化 。 

(5) 数据 分 析 与 费用 计算 。 利 用 采集 到 的 网 络 资源 使 用 数据 、 联 网 用 户 的 详细 信息 及 
计 费 政策 计算 网 络 用 户 的 资源 使 用 情况 ,并 计算 出 应 交纳 的 费用 。 

(6) 数据 查询 。 为 用 户 提供 计 费 信息 查询 服务 。 

ISO 定义 的 五 大 管理 功能 只 是 最 基本 的 网 络 管理 功能 , 除 此 以 外 还 有 服务 管理 .地 址 
管理 .软件 管理 ,文档 管理 和 网 络 资源 管理 等 功能 。 这 些 功能 都 是 相辅相成 的 ,完成 某 项 
管理 功能 往往 需要 其 他 管理 功能 的 有 效 结合 。 如 故障 管理 要 从 性 能 管理 得 到 当前 的 运 
行 结果 ,从 配置 数据 库 得 到 设备 的 配置 信息 。 因 此 网 络 管理 可 看 作 是 一 组 过 程 和 任务 的 
集合 。 


1.4 网络 管理 体系 结构 


网 络 管理 体系 结构 是 指 用 于 定义 网 络 管理 系统 的 结构 及 系统 成 员 间 相互 关系 的 一 套 规 
则 。 由 于 网 络 设备 的 不 断 更 新 换代 ,技术 不 断 提高 ,网络 结构 不 断 变化 ,网 络 管 理 体系 结构 
的 设计 显得 越 来 越 重要 。 

常见 的 网 络 管理 体系 结构 是 集中 式 体系 结构 、 分 层 式 体系 结 构 、 分 布 式 体系 结构 三 种 类 
型 。 下 面 将 详细 介绍 这 三 种 体系 结构 以 及 各 自 的 优 缺 点 。 


1.4.1 集中 式 网 络 管理 体系 结构 


集中 式 体系 结构 是 目前 最 普遍 ,最 常见 的 一 种 方式 。 如 图 1-1 所 示 ,整个 网 络 的 管理 工 
作 都 由 单一 的 网 络 管理 者 (Manager) 负 责 。 管 理 者 和 被 管 对 象 (Managed Object) 的 代理 进 
行 通信 ,管理 者 提供 集中 式 决策 支持 和 控制 并 维护 管理 者 数据 库 。 
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图 1-1 集中 式 网 络 管理 体系 结构 


使 用 这 种 结构 网 络 管理 员 只 要 在 一 个 位 置 就 可 以 查看 到 所 有 网 络 信息 ,有 助 于 发 现 并 
维修 故障 ,有 助 于 分 析 和 确定 问题 的 关联 性 。 此 外 由 于 管理 位 置 唯一 ,网 络 管理 工作 站 可 以 
放置 在 一 个 限制 访问 的 地 方 , 同 时 还 可 以 设置 为 只 允许 某 些 用 户 访问 网 络 管理 系统 ,使 得 整 
个 系统 的 安全 性 更 容易 得 到 保证 。 

集中 式 体系 结构 最 大 的 缺点 是 : 随 着 网 络 规模 不 断 扩大 和 复杂 性 的 不 断 增加 ,网 络 能 
力 和 效率 将 明显 降低 。 另 外 ,由 于 网 络 管理 节点 单一 ,一 旦 该 节点 出 现 故 障 或 失效 ,将 导致 
全 网 瘫痪 。 因 此 在 简单 的 网 络 环境 中 ,采用 集中 式 模式 往往 控制 简捷 有 效 。 

后 来 在 集中 式 体系 结构 的 基础 上 推出 了 一 种 改进 结构 一 一 基于 平台 结构 的 集中 管理 ， 
如 图 1-2 所 示 。 对 比 传统 的 集中 式 结构 ,单一 的 网 络 管理 者 分 成 管理 平台 和 管理 应 用 两 部 
分 。 管 理 平台 主要 负责 信息 的 收集 ,信息 监 控 和 控制 .吞吐 量 计 算 等 主要 的 服务 。 管 理应 用 
则 使 用 管理 平台 所 提供 的 服务 实现 处 理 决 策 支持 、 简 单 计算 等 高 层 功能 。 这 种 基于 平台 
结构 易于 维护 和 扩展 , 极 大 地 简化 了 异 构 、 多 厂家 、 多 协议 环境 下 综合 应 用 程序 的 开发 维护 
和 扩展 。 
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图 1-2 基于 平台 的 集中 式 网 络 管理 体系 结构 


1.4.2 分 层 式 网 络 管理 体系 结构 


在 分 层 式 网 络 管理 体系 结构 中 存在 着 很 多 的 网 络 管理 者 ,而 分 层 的 思想 主要 体现 在 这 
些 网 络 管理 者 之 间 。 一 个 管理 者 作为 其 他 管理 者 的 总 的 管理 者 , 称 为 MoM (Manger of 
Manager)。 其 他 的 管理 者 各 自 管理 自己 的 域 ,而 总 管理 者 所 需求 的 相关 信息 由 其 下 属 的 域 
管理 者 提供 ,如 图 1-3 所 示 。 

这 种 体系 结构 的 优点 是 分 散 了 网 络 管理 的 负荷 ,管理 不 依赖 于 单一 的 管理 者 、 网 络 规模 
可 扩充 ,而 且 方 便 了 综合 应 用 程序 的 开发 , 比 集中 式 系统 更 可 靠 。 分 层 式 结构 比较 适用 于 行 
业 网 的 网 络 管理 。 
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图 1-3 分 层 式 网 络 管理 体系 结构 


1.4.3 分 布 式 网 络 管理 体系 结构 

分 布 式 体系 结构 如 图 1-4 所 示 ,该 结构 结合 了 集中 式 和 分 层 式 的 特点 ,采用 多 个 对 等 
台 。 一 个 域 由 一 个 管理 者 负责 ,但 是 管理 者 之 间 能 够 相互 通信 。 当 需要 另 一 个 域 的 信 
息 时 ,管理 者 与 它 的 对 等 系统 进行 通信 ,这 就 相当 于 每 个 被 管理 域 都 有 一 个 以 上 的 管 
理 者 。 


图 1-4 分 布 式 网 络 管理 体系 结构 


这 种 体系 结构 的 最 大 优点 是 其 规模 的 可 扩充 性 ,网 络 管理 任务 分 布 执行 ,并 且 网 络 监控 
分 布 于 整个 网 络 、 具 有 很 高 的 可 靠 性 。 但 该 系统 设置 较为 复杂 。 

随 着 现代 网 络 的 迅速 发 展 ,网 络 覆 盖 范 围 越 来 越 大 以 及 网 络 功能 越 来 越 强 大 ,分 布 式 网 
络 管理 已 成 为 一 种 网 络 管理 技术 发 展 的 新 趋势 。 


1.5 网 络 管理 模型 与 协议 


每 个 计算 机 网 络 都 是 计算 机 、 传 输 介质 、 互 联 设备 .系统 软件 和 协议 的 组 合 ,不 同 的 网 络 
之 间 又 互联 成 为 众所周知 的 更 为 复杂 的 互联 网 。 在 进行 网 络 管理 系统 系统 开发 时 ,必须 用 
逻辑 模型 来 表示 这 些 复杂 的 网 络 组 件 。 


1.5.1 网 络 管理 基本 模型 


网 络 管理 系统 (Network Management System,NMS) 是 用 于 实现 对 网 络 资源 的 全 面 有 
效 的 管理 ,目前 普遍 采用 管理 一 一 代理 的 模型 结构 。 

从 逻辑 上 一 个 网 络 管理 系统 包括 以 下 四 部 分 : 

。 管理 进程 (Manager); 

。 管理 代理 (Agent); 

。 管理 信息 库 (Management Information Base, MIB); 

。 管理 协议 (Management Protocol) 。 

管理 进程 是 一 个 或 一 组 软件 程序 ,一 般 运 行 在 网 络 管理 站 的 主机 上 。 管 理 代 理 是 一 个 
软件 , 驻 留 在 被 管 设备 (工作 站 交换机、 网 络 打印 机 等 ) 上 。 管 理 信息 库 是 网 络 管理 系统 中 
非常 重要 的 部 分 , 它 是 一 个 信息 存储 库 ,里 面包 含 了 很 多 数据 对 象 , 网 络 管理 员 可 以 通过 直 
接 控 制 这 些 数 据 对 象 去 控制 .配置 或 监控 网 络 设备 。 而 负责 管理 进程 和 管理 代理 之 间 通 信 
的 就 是 网 络 管理 协议 ,如 图 1-5 所 示 的 就 是 网 络 管理 系统 的 基本 模型 。 


被 管 设备 管理 工作 站 


网 络 管理 协议 


命令 /响应 


1-5 网 络 管理 系统 基本 模型 


1. 管理 进程 (Manager) 

管理 进程 也 叫 管理 者 , 它 是 网 络 管理 的 处 理 实体 ,位 于 管理 工作 站 上 。 管 理 进程 是 对 网 
络 设备 和 设施 进行 全 面 管理 和 控制 的 软件 。 其 主要 工作 内 容 就 是 负责 发 出 管理 操作 的 指 
令 ,并 接收 来 自 代理 程序 的 信息 ,并且 应 该 定期 查询 管理 代理 收集 到 的 有 关 主 机 运转 状态 、 
配置 及 性 能 等 的 信息 。 

网 络 管理 者 和 代理 进程 通过 交换 管理 信息 来 进行 工作 ,信息 分 别 驻 留 在 被 管 设 备 和 管 
理工 作 站 上 的 管理 信息 库 中 。 而 整个 信息 交换 过 程 需 要 通过 网 络 管理 协议 来 完成 。 

2. 管理 代理 (Agent) 

管理 代理 充当 管理 系统 与 代理 软件 驻 留 设备 之 间 的 中 介 , 可 以 获得 本 地 设备 的 运转 状 
态 ,设备 特性 、 系 统 配置 等 相关 信息 。 

代理 软件 就 像 是 每 个 被 管理 设备 的 信息 经 纪 人 ,它们 通过 控制 设备 的 管理 信息 数据 库 
(MIB) 中 的 信息 来 完成 网 络 管理 员 布 置 的 采集 信息 的 任务 。 


网 络 管 理 硫 述 


坤 一 站 


网 络 系 统 营 理 


设备 厂商 决定 其 管理 代理 软件 可 以 控制 哪些 MIB 对 象 , 如 路 由 器 .交换 器 、 集 线 器 等 许 
多 网 络 设备 的 管理 代理 软件 都 是 由 原 网 络 设 备 制造 商 提供 的 。 

一 个 管理 进程 可 以 和 多 个 管理 代理 进行 信息 交互 ,同时 一 个 代理 也 可 以 接受 来 自 多 个 
管理 者 的 管理 操作 ,但 是 代理 需要 处 理 来 自 多 个 管理 者 的 多 个 操作 之 间 的 协调 问题 。 

3. 管理 信息 库 (Management Information Base, MIB) 

管理 信息 库 由 一 个 系统 内 的 许多 被 管 对 象 (Managed Object, MO) 及 其 属性 组 成 , 它 实 
际 上 是 一 个 虚拟 数据 库 , 提 供 了 有 关 被 管理 对 象 的 信息 。 

现在 已 经 定义 的 有 几 种 通用 的 标准 管理 信息 数据 库 , 这 些 数据 库 中 包括 了 必须 在 网 络 
设备 中 支持 的 特殊 对 象 ,所 以 这 几 种 MIB 可 以 支持 简单 网 络 管理 协议 (SNMP)。 使 用 最 广 
泛 .最 通用 的 MIB 是 MIB-I 。 

4. 管理 协议 (Management Protocol) 

管理 协议 对 管理 进程 与 管理 代理 之 间 的 通信 进行 了 规范 和 约定 ,并 且 定 义 了 两 者 之 间 
交换 信息 的 方法 ,负责 在 管理 系统 与 管理 代理 之 间 传 送 操作 命令 ,同时 负责 解释 管理 操作 
命令 。 

目前 最 有 影响 的 网 络 管理 系统 协议 是 SNMP 和 CMIS/CMIP。 它 们 代表 了 目前 网 络 
管理 解决 方案 。 其 中 SNMP 流传 最 广 , 应 用 最 多 ,获得 的 支持 也 最 广泛 ,已 经 成 为 事实 上 的 
工业 标准 。 


1.5.2 网 络 管理 协议 


根据 ISO 定义 ,协议 是 一 组 正式 的 规则 、 协 定 和 数据 结构 ,由 它们 控制 计算 机 及 其 他 网 
络 设备 如 何 进 行 信息 交换 。 网 络 管 理 协议 即 规定 了 网 络 管理 者 与 管理 代理 间 通 信 时 必须 遵 
循 的 相关 规则 与 协定 。 

目前 比较 有 代表 性 的 网 络 管理 协议 为 SNMP( 简 单 的 网 络 管理 协议 ) 和 CMIS/CMIP 
(公共 管理 信息 服务 和 公共 管理 信息 协议 ) 。 

1. SNMP 

SNMP(Simple Network Management Protocol) 即 简单 网 络 管理 协议 , 它 为 网 络 管理 系 
统 提供 了 底层 网 络 管理 的 框架 ,是 目前 TCP/IP 网 络 中 应 用 最 广泛 的 网 络 管理 协议 。 

SNMP 从 1989 年 发 布 第 一 个 版 本 SNMP vl 以 来 ,结合 网 络 的 发 展 和 管理 需求 ,相继 
推出 了 SNMP v2 和 SNMP v3 两 个 版 本 以 及 一 些 补充 ,从 而 使 SNMP 的 功能 不 断 完善 ,应 
用 更 加 广泛 。 

整个 SNMP 系统 包括 一 系列 协议 组 和 规范 ,如 MIB( 管 理 信息 库 )、SMI( 管 理 信息 的 结 
构 与 标识 ) 和 SNMP( 简 单 网 络 管理 协议 )。 这 些 协议 组 和 规范 提供 了 一 种 从 网 络 上 的 设备 
中 收集 网 络 管理 信息 的 方法 ,也 为 设备 向 网 络 管理 工作 站 报告 问题 和 错误 提供 了 一 种 方法 。 

SNMP 突出 特点 的 是 简单 .易于 实现 ,因而 得 到 了 厂商 的 支持 。 特 别 是 在 Internet 上 的 
成 功 应 用 ,使 得 它 的 重要 性 越 来 越 突出 ,已 经 成 为 解决 网 络 管理 问题 最 有 实用 价值 的 一 个 工 
业 标准 。 

2. CMIS/CMIP 

CMIS/CMIP (the Common Management Information Service/Common Management 
Information Protocol) 即 公共 管理 信息 服务 和 公共 管理 信息 协议 。CMIP 公共 管理 协议 提 


供 了 一 个 接口 支持 ISO 和 用 户 定 义 管理 协议 ,而 CMIS 定义 了 一 个 网 络 管理 信息 服务 

该 协议 是 由 国际 标准 化 组 织 (ISO) 制 定 的 一 个 通用 的 网 络 管理 协议 ,主要 针对 OSI 七 
层 协议 模型 而 设计 , 它 能 够 对 应 各 种 开放 系统 之 间 的 管理 通信 和 操作 ,开放 系统 之 间 既 可 以 
是 平等 关系 ,也 可 以 是 主 从 关系 。 因 此 它 既 能 够 进行 分 布 式 的 管理 ,也 能 够 进行 集中 式 的 管 
理 。 虽然 CMIS/CMIP 是 国际 标准 ,但 是 目前 支持 该 协议 的 产品 较 少 。 

SNMP 和 基于 ISO 标准 的 CMIP, 其 不 同 之 处 主要 在 于 各 自 定义 的 被 管 对 象 和 对 被 管 
对 象 进行 分 类 的 原则 与 标准 不 同 。SNMP 比较 简单 实用 ,CMIP 却 比较 通用 和 完备 。 在 未 
来 的 网 络 管理 中 ,究竟 哪 一 种 将 占据 优势 ,一 直 是 业界 争论 的 话题 ,总 的 来 说 ,两 种 协议 大 同 
小 异 , 各 有 所 长 。 


1.5.3 网 络 管理 技术 


网 络 管理 技术 是 一 门 复杂 的 技术 ,涉及 计算 机 网 络 技术 、 软 件 技术 和 管理 技术 等 各 个 领 
域 的 内 容 。 目 前 用 于 网 络 管理 的 技术 很 多 ,新 的 网 络 管理 技术 也 不 断 出 现 。 

1. RMON 技术 

RMON(Remote Monitoring ,远程 监视 ) 技 术 。RMON 的 目标 是 为 了 扩展 SNMP 的 
MIB( 管 理 信息 库 ) ,使 SNMP 更 为 有 效 、 更 为 积极 主动 地 监控 远程 设备 。 

和 SNMP 中 的 管理 站 和 代理 一 样 ,运行 RMON 的 管理 控制 台 和 RMON 代理 也 属于 典 
型 的 客户 机 /服务 器 (Client/Server) 结 构 。 运 行 RMON 代理 的 每 个 设备 都 对 本 地 网 段 进 行 
检测 和 分 析 , 然 后 主动 地 向 网 络 管理 系统 传递 信息 。 例 如 , 当 它 发 现 严重 的 分 组 丢失 和 过 高 
的 冲突 率 时 ,可 以 主动 地 报警 。 由 于 监测 是 在 本 地 进行 的 ,因此 所 得 出 的 分 析 结 果 是 非常 可 
靠 的 。 因 此 这 种 工作 方式 大 大 降低 了 SNMP 的 工作 量 。 

RMON 的 主要 实现 了 以 下 功能 。 

。 离线 操作 ， 

。 主动 监视 ; 

。 问题 监测 和 报告 ; 

。 提供 增值 数据 ; 

。 多 管理 站 操作 。 

2. 基于 Web 的 网 络 管理 技术 

随 着 Web 的 流行 和 技术 的 发 展 ,可 以 将 网 络 管理 和 Web 结合 起 来 ,通过 Web 浏览 器 
进行 网 络 管理 。 

基于 Web 的 网 络 管理 模式 (WBM) 的 实现 有 两 种 方式 。 

第 一 种 是 代理 方式 , 即 在 一 个 内 部 工作 站 上 运行 Web 服务 器 (代理 )。 这 个 工作 站 轮流 
与 端点 设备 通信 ,浏览 器 用 户 与 代理 通信 ,同时 代理 与 端点 设备 之 间 通 信 。 在 这 种 方式 下 ， 
网 络 管理 软件 成 为 操作 系统 上 的 一 个 应 用 , 它 介 于 浏览 器 和 网 络 设备 之 间 。 在 管理 过 程 中 ， 
网 络 管理 软件 负责 将 收集 到 的 网 络 信息 传送 给 浏览 器 ,并 将 传统 协议 转换 成 Web 协议 。 

第 二 种 是 嵌入 式 , 它 将 Web 功能 嵌入 到 网 络 设备 中 ,每 个 设备 有 自己 的 Web 地 址 。 管 
理 员 可 通过 浏览 器 直接 访问 并 管理 该 设备 。 在 这 种 方式 下 ,网络 管理 软件 与 网 络 设备 集成 
在 一 起 ,网 络 管理 软件 无 须 完 成 协议 转换 .所 有 的 管理 信息 都 是 通过 HTTP 协议 传送 的 。 


网 络 营 理 规 述 


坤 一 四 


网 络 系 统 营 理 


1.6 网 络 管理 软件 


随 着 计算 机 、 网 络 和 通信 技术 的 发 展 ,网 络 管理 技术 取得 了 质 的 飞跃 。 应 用 性 进一步 增 
强 , 伴 随 发 展 的 网 管 软件 也 日 趋 完 善 , 这 大 大 提高 了 综合 网 络 的 可 管理 性 ,使 得 网 络 结构 清 
晰 合理 ,运行 变 得 井然 有 序 。 


1.6.1 网 络 管理 软件 的 发 展 和 分 类 


根据 网 络 管理 软件 的 应 用 范围 和 表现 形式 ,可 将 网 络 管理 软件 的 发 展 划分 为 三 代 。 

第 一 代 网 管 软件 系统 常用 的 命令 行 方式 ,并 结合 一 些 简单 的 网 络 监测 工具 , 它 不 仅 要 求 
使 用 者 精通 网 络 的 原理 及 概念 ,还 要 求 使 用 者 了 解 不 同 厂商 的 不 同 网 络 设备 的 配置 方法 。 
这 种 方式 的 优点 是 具有 很 大 的 灵活 性 ,缺点 是 风险 系数 较 大 ,容易 引发 误 操 作 ,而且 不 具备 
图 形 化 和 直观 性 ,如 网 络 探测 工具 NetXray。 

这 一 代 网 管 工具 只 能 统计 和 分 析 网 络 的 数据 ,并 不 能 监控 设备 的 状态 。 如 果 需 要 监控 
设备 运行 状态 ,要 配合 一 系列 管理 控制 命令 直接 在 设备 上 查看 系统 和 端口 信息 。 

第 二 代 网 管 系统 具有 良好 的 图 形 化 界面 ,用 户 无 须 过 多 地 了 解 设备 的 配置 方法 ,就 能 图 
形 化 地 对 多 台 设 备 同 时 进行 配置 和 监控 ,大 大 提高 了 工作 效率 ,但 仍然 存在 人 为 因素 造成 的 
设备 功能 使 用 不 全 面 或 不 正确 的 问题 。 如 CiscoView 是 一 个 基于 GUI 的 设备 管理 软件 应 
用 程序 ,可 以 用 图 形 的 方式 显示 Cisco 的 物理 视图 。 另 外 , 它 还 提供 配置 和 监视 功能 及 基本 
的 故障 排除 功能 。 借 助 CiscoView 可 以 更 容易 地 理解 设备 提供 的 大 量 管理 数据 ,网 络 管理 
员 无 须 对 远程 站 点 上 的 每 台 设 备 进 行 物理 检测 ,就 能 够 全 面 查看 Cisco 设备 的 运行 状态 。 

第 三 代 网 管 软件 相对 来 说 比较 智能 ,是 真正 将 网 络 和 管理 进行 有 机 结合 的 软件 系统 , 具 
有 自动 配置 和 自动 调整 的 功能 。 对 网 管 人 员 来 说 ,只 要 把 用 户 情况 .设备 情况 及 用 户 与 网 络 
资源 之 间 的 分 配 关系 输入 网 络 管理 系统 ,系统 就 能 自动 建立 图 形 化 的 用 户 与 网 络 的 配置 关 
系 , 并 自动 鉴别 用 户 身份 ,分 配 用 户 所 需 的 资源 (如 电子 邮件 、Web、 文 档 服务 等 ), 同 时 ,整个 
企业 的 网 络 安全 得 到 保证 。 因 此 第 三 代 网 管 系统 是 企业 级 的 管理 平台 ,由 多 个 软件 包 构 成 ， 
涉及 OSI 的 全 部 七 层 协议 。 

目前 第 三 代 系 统 可 选 的 范围 比较 广 , 如 CA Urllzenter TNG、Cisco Works、HP OpenView、 
IBM Tivoli\APRISMA Spectrum 等 。 

目前 常用 的 网 络 管理 软件 主要 根据 管理 的 对 象 来 分 , 即 可 分 为 通用 网 络 管理 软件 NMS 
和 网 元 (设备 ) 管 理 软件 EMS 两 大 类 ,网 元 管理 软件 只 管理 单独 的 网 元 (网 络 设备 ) ,通用 网 
络 管理 软件 的 管理 目标 为 一 个 网 络 。 

网 元 管理 软件 由 原 厂商 提供 ,各 厂商 采用 专 有 的 管理 MIB 库 , 以 实现 对 自行 开发 的 设 
备 进 行 专门 的 管理 。 

通用 网 络 管理 软件 则 主要 用 于 掌握 全 网 的 状况 ,作为 底层 的 网 络 管理 平台 来 服务 于 上 
层 的 网 元 管理 软件 等 ,可 以 提供 一 个 第 三 方 的 网 络 管理 平台 ,支持 对 所 有 SNMP 设备 的 发 
现 和 监控 。 可 集成 厂商 设备 的 私有 MIB 库 可 实现 对 全 网 设备 进行 识别 和 统一 的 管理 ,有 利 
于 简化 管理 和 降低 成 本 。 


1.6.2 SiteView 网 络 管理 平台 


SiteView 是 北京 游 龙 科 技 公司 自主 研发 的 ,专注 于 网 络 应 用 的 故障 诊断 和 性 能 管理 于 
一 体 的 运营 级 的 综合 网 络 管理 系统 , 它 完 成 对 局 域 网 ,广域网 和 互联 网 上 的 系统 应 用 、 服 务 
器 和 网 络 设备 的 故障 监测 和 性 能 管理 ,是 集中 式 、 跨 平台 的 系统 管理 软件 。 

SiteView 产品 线 包括 下 列 8 款 产品 : ITSM(IT 服务 管理 )、ECC (综合 系统 管理 )、 
NNM( 网 络 设备 管理 )、LM( 系 统 日 志 管 理 )、EIM( 互 联网 行为 网 关 )、DM (桌面 管理 )、 
VLAN( 虚 拟 局 域 网 )、TR069( 智 能 设备 管理 )。 这 里 主要 介绍 ECC 综合 系统 管理 。 

SiteView 综合 系统 管理 (Enterprise Control Center,ECC) 即 SiteView for ECC, 它 采用 
全 中 文 Web 架构 ,功能 强大 ,性 能 稳定 ,可 有 效 预 防 或 发 现 系统 故障 ,提供 完善 的 统计 和 分 
析 报 告 ,是 日 前 国内 最 完善 的 综合 系统 管理 平台 。SiteView ECC 内 置 上 千 种 检测 器 ,对 服 
务 器 、 网 络 设备 .业务 系统 .中 间 件 .数据库 进行 广泛 .深层 次 的 监测 管理 ,以 解决 在 日 常 IT 
管理 中 遇 到 的 问题 。 图 1-6 为 SiteView ECC 的 系统 结构 图 。 
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后 台数 据 库 
图 1-6 SiteView ECC 的 系统 结构 图 


如 图 1-7 所 示 ,SiteView ECC 采用 分 布 式 架构 的 部 署 方式 实现 全 网 集中 管理 ,通过 监 
控 中 心 的 一 台 SiteView ECC 监测 主机 实时 采集 和 分 析 各 子 系统 反馈 的 数据 ,7X24 小 时 对 
企业 网 络 运行 状况 进行 全 面 监 测 。IT 运 维 部 门 可 通过 精美 的 网 络 拓扑 图 ,直观 查看 网 络 应 
用 运行 状况 。SiteView ECC 采用 B/S 架构 ,全 中 文 Web 界面 ,具有 灵活 的 系统 架构 ,无 须 
安装 Agent, 适 用 于 各 种 规模 的 网 络 。 

SiteView ECC 主要 具备 以 下 功能 : 

。 多 用 户 可 定制 化 分 级 管理 ; 
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图 1-7 SiteView ECC 监测 主页 图 


。 采用 Microsoft 管理 控制 台 ; 

。 支持 大 规模 网 络 管理 ; 

。 集中 非 代理 式 的 监控 ; 

。 可 视 化 管理 网 络 ; 

。 全 面 直观 的 拓扑 展示 图 ; 

。 灵活 丰富 多 样 的 报表 统计 功能 ; 

。 实时 设备 运行 情况 分 析 ; 

。 灵活 多 样 的 报警 机 制 。 

SiteView ECC 各 方面 的 性 能 与 HP、IBM、CA 等 国际 著名 公司 的 网 管 产品 各 有 所 长 。 
可 以 说 它 是 结合 国际 上 最 先进 的 网 络 管理 理念 ,吸取 了 国际 知名 网 络 产品 的 优点 ,基于 国内 
大 型 网 络 应 用 环境 而 自行 研发 和 设计 的 优秀 网 络 管理 平台 。 


1.6.3 综合 系统 管理 软件 HP OpenView 


综合 系统 管理 软件 OpenView 是 HP 公司 开发 的 优秀 的 网 管 软 件 ,OpenView 集成 了 
网 络 管理 和 系统 管理 各 自 的 优点 ,形成 一 个 单一 而 完整 的 管理 系统 。 

OpenView 系列 产品 包括 了 统一 管理 平台 、 全 面 的 服务 和 资产 管理 .网 络 安全 、 服 务 质 
量 保障 .故障 自动 监测 和 处 理 、 设 备 搜索 .网 络 存储 、 智 能 代理 、Internet 环境 的 开放 式 服务 
等 丰富 的 功能 特性 。 目 前 该 产品 主要 应 用 在 金融 电信、 交通、 政府 .公用 事业 、 制 造 业 等 领 
域 ,其 体系 结构 如 图 1-8 所 示 。 
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图 1-8 OpenView 体系 结构 


根据 HP OpenView 的 体系 结构 ,可 把 它 的 系统 管理 功能 分 为 以 下 几 部 分 : 

。 网 络 管理 ， 

。 系统 管理 (包括 事件 管理 ,性 能 管理 .资产 管理 .服务 管理 等 ) ; 

。 数据 库 / 应 用 管理 ; 

。 数据 存储 /备份 管理 。 

HP OpenView 解决 方案 ,不 只 是 对 IT 环境 进行 管理 , 它 还 是 一 个 开放 的 IT 管理 平 
台 , 能 有 机 地 集成 其 他 的 应 用 ,深层 次 地 管理 IT 环境 ,如 HP OpenView 可 对 网 络 与 系统 性 
能 ,资产 和 配置 管理 ,问题 和 故障 、 数 据 库 、Internet\ 安 全 性 ,数据 存储 和 备份 乃至 IT 服务 管 
理 等 多 方面 进行 管理 。 

其 基本 特性 如 下 : 

。 支持 目前 业界 开放 标准 协议 ; 

。 支持 标准 网 络 传输 和 网 管 协议 ,如 TCP/IP、.SNA、SNMP、RPC、CMIP 等 ; 

。 采用 开放 的 、 模 块 化 体系 结构 ,扩充 性 能 好 ,异种 网 络 管理 能 力 强 ; 

。 提供 丰富 的 图 形 操作 界面 ,能 动态 反映 网 络 的 拓扑 结构 ,包括 网 络 各 种 资源 变化 的 

自动 监测 ,方便 操作 人 员 的 网 络 运行 状况 监控 ; 

。 OpenView 网 络 系统 中 的 各 个 产品 都 采用 一 致 操作 方式 的 图 形 界面 ,并 且 可 以 自动 

或 根据 用 户 设置 动态 反映 网 络 拓扑 结构 和 监测 系统 资源 ; 

。 提供 用 户 灵活 的 设置 功能 ,如 赣 值 设 定 , 以 监测 网 络 故障 的 发 生 ; 

。 提供 丰富 的 应 用 程序 接口 ,方便 用 户 开 发 自己 的 网 络 程序 

。 具有 分 发 软件 和 数据 的 功能 ,数据 能 分 发 至 各 种 机 器 上 。 

HP OpenView 最 基础 的 产品 是 OpenView Network Node Manager(NNM) 网 络 节点 
管理 器 ,其 结构 灵活 、 伸 缩 性 强 ,可 以 管理 从 数 十 个 节点 到 上 万 个 节点 的 网 络 ,可 自动 发 现 网 
络 节点 .自动 产生 网 络 拓扑 图 ,并 对 网 络 事件 进行 处 理 。 如 图 1-9 所 示 为 NNM 启动 后 的 根 
目录 。 

NNM 网 络 管理 通过 单 点 控制 来 完成 管理 所 需 的 操作 。NNM 为 网 络 管理 员 提 供 了 一 
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图 1-9 NNM 启动 后 的 根 目录 


种 集成 工具 ,使 其 可 以 通过 网 络 的 一 个 图 形 化 表示 形式 控制 和 管理 多 个 联网 系统 和 应 用 
程序 。 

NNM 网 络 管理 功能 包括 故障 和 问题 管理 ,性 能 管理 ,配置 和 变更 管理 ` 统 计 信息 管理 
和 安全 性 管理 。 

HP OpenView NNM 以 其 强大 的 网 络 管理 功能 .先进 的 技术 .多 平台 适应 性 在 全 球 网 
络 管理 领域 得 到 了 广泛 的 应 用 。 

网 络 管理 软件 正 朝 着 集成 化 ,分布 式 、 智 能 化 的 方向 快速 发 展 。 用 户 在 选 购 网 管 软件 
时 ,必须 结合 具体 的 网 络 条 件 。 中 小 企业 比较 倾向 集中 式 的 网 络 管理 ,选择 网 络 管理 系统 要 
考虑 管理 成 本 低廉 ,维护 便捷 等 因素 。 大 型 企业 的 网 络 管理 系统 应 更 加 专业 化 和 智能 化 ,能 
自动 分 析 数 据 ` 评 价 配置 .网 络 模拟 和 资源 预测 等 。 

无 论 何 种 规模 的 企业 ,不 能 认为 只 要 安装 了 网 络 管理 系统 就 万 事 大 吉 ,必须 从 网 络 管理 
的 角度 来 认识 和 维护 网 络 。 网 络 管理 系统 只 是 网 络 管理 的 一 个 方面 ,还 要 结合 人 员 专业 水 
平 、 管 理 制度 和 其 他 辅助 网 络 工具 等 多 个 方面 。 


1.7 课 后 习题 


. 请 简 述 网 络 管理 的 概念 。 

. 分 析 集 中 式 体系 结构 、 分 层 式 体 系 结构 和 分 布 式 体系 结构 三 者 的 特点 。 
. 网 络 管理 的 五 大 功能 管理 包含 哪些 内 容 ? 

. 试 比较 SNMP 和 CMIP 之 间 的 区 别 。 

. 调查 市 场 上 主流 网 络 管理 软件 ,比较 其 功能 特性 。 
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第 2 章 SNMP 网 络 管理 架构 


2.1 导语 : SNMP 为 何如 此 重要 


在 之 前 的 章节 中 ,我 们 曾经 介绍 过 简单 网 络 管理 协议 (Simple Network Management 
Protocol,SNMP) 。 利 用 SNMP ,一 个 管理 工作 站 可 以 远程 管理 所 有 支持 这 种 协议 的 网 络 设 
备 , 包 括 监 视 网 络 状态 .修改 网 络 设备 配置 .接收 网 络 事件 警告 等 。 那 么 在 众多 的 网 络 管理 
协议 中 ,SNMP 是 如 何 做 到 脱颖而出 的 呢 ? 

SNMP 开发 于 20 世纪 90 年 代 早 期 ,其 目的 是 简化 大 型 网 络 中 设备 的 管理 和 数据 的 获 
取 并 且 可 以 同时 管理 互联 网 Internet 上 众多 厂家 生产 的 软 硬 件 平台 。 由 于 SNMP 的 实现 
简单 效果 显著 ,所 以 网 络 硬件 厂商 开始 把 SNMP 加 入 到 它们 制造 的 每 一 台 设 备 。 今 天 ,各 
种 网 络 设备 上 都 可 以 看 到 默认 启用 的 SNMP 服务 ,从 交换 机 到 路 由 器 ,从 防火 墙 到 网 络 打 
印 机 ,无 一 例外 。 此 外 许多 与 网 络 有 关 的 软件 包 , 如 HP 的 OpenView 和 Nortel Networks 
的 Optivity Network Management System, 还 有 Multi Router Traffic GrapherC(MRTG) 之 
类 的 免费 软件 ,都 用 SNMP 服务 来 简化 网 络 的 管理 和 维护 。 


2.2 SNMP 概述 


简单 网 络 管理 协议 是 由 互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 定 
义 的 一 套 基 于 Internet 管理 的 网 络 管理 协议 ,属于 Internet 协议 簇 的 一 部 分 , 它 为 网 络 管理 
系统 提供 了 底层 网 络 管理 的 框架 。 该 协议 最 初 是 由 IETF 的 研究 小 组 为 了 解决 在 Internet 
上 的 路 由 器 管理 问题 提出 的 ,现在 已 经 用 于 远程 管理 所 有 支持 这 种 协议 的 网 络 硬 件 设 备 ( 比 
如 路 由 器 、UNIX 工作 站 和 PC 等 ) 和 相关 软件 平台 。 

SNMP 的 功能 是 保证 网 络 管理 中 各 类 操作 的 正常 运行 。 其 基本 思想 是 为 不 同 厂商 的 
不 同类 型 及 不 同型 号 的 设备 定义 一 个 统一 的 接口 和 协议 ,使 得 管理 员 可 以 使 用 统一 的 方式 
对 这 些 设备 进行 集中 管理 ,在 提高 网 络 管理 效率 的 同时 ,简化 网 络 管理 员 的 工作 。SNMP 
的 目的 是 使 网 络 管理 变 得 简单 ,同时 SNMP 本 身 也 要 简单 。 


2.2.1 SNMP 的 发 展 


SNMP 发 展 到 现在 , 共 推 出 了 3 个 版 本 和 两 个 扩展 ,具体 如 下 : 

。 1989 年 ,SNMP vl 发 布 ; 

。 1991 年 ,针对 SNMP vl 的 扩展 RMON(Remote Monitoring ,远程 监视 ) 发 布 。RMON 
扩展 了 SNMP vl 的 功能 ,主要 加 强 了 局 域 网 及 设备 的 管理 ; 
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。 1995 年 ,SNMP v2 正式 发 布 ,SNMP v2 在 SNMP vl 基础 上 增加 了 部 分 功能 ,并 制 
定 了 在 OSI 网 络 中 使 用 SNMP 的 具体 方法 。 同 年 ,RMON 升级 为 RMON2; 
。 1998 年 ,SNMP v3 发 布 ,重点 加 强 了 SNMP 的 安全 性 ,并 为 将 来 的 发 展 设计 了 总 体 
的 架构 。 

简单 化 是 SNMP 标准 取得 成 功 的 主要 原因 。 正 是 因为 SNMP 的 实现 较为 简单 .容易 实现 
且 成 本 低 , 所 以 在 SNMP vl 发布 后 得 到 了 大 量 的 应 用 。 此 外 ,SNMP vl 还 具有 以 下 特点 : 

。 可 伸缩 性 ,SNMP 可 管理 绝 大 部 分 符合 Internet 标准 的 设备 ; 

。 扩 展 性 ,通过 定义 新 的 “被 管理 对 象 ”, 可 以 非常 方便 地 扩展 管理 能 力 ; 

。 健壮 性 ,即使 在 被 管理 设备 发 生 严 重 错 误 时 ,也 不 会 影响 管理 者 的 正常 工作 。 

但 是 ,此 时 的 SNMP 仍 不 太 适 合 大 型 或 重要 网 络 的 管理 ,因为 它 的 功能 还 不 够 强 , 并 且 
没有 考虑 安全 问题 ,如 难以 实现 大 量 的 数据 传输 ,缺少 身份 验证 (Authentication) 和 加 密 
(Privacy) 机 制 等 。 

为 了 弥补 SNMP vl 的 不 足 , 在 1991 年 推出 了 RMON ,SNMP 最 重要 的 进展 是 远程 监 
控 (RMON) 能 力 的 开发 。RMON 为 网 络 管理 者 提供 了 监控 整个 子 网 而 不 是 各 个 单独 设备 
的 能 力 。1992 年 针对 SNMP 缺乏 安全 性 的 弱点 又 公布 了 S-SNMP(Secure SNMP) 草 案 ,于 
1995 年 正式 推出 了 SNMP v2。SNMP v2 具有 以 下 基本 特点 : 

。 支持 分 布 式 网 络 管理 ; 

。 扩展 了 数据 类 型 ; 

。 可 以 实现 大 量 数据 的 同时 传输 ,提高 了 效率 和 性 能 ; 

。 丰富 了 故障 处 理 能 力 ; 

。 增 加 了 集合 处 理 功 能 ; 

。 加 强 了 数据 定义 语言 。 

虽然 IETF 为 SNMP v2 做 了 大 量 工作 ,但 是 由 于 SNMP v2 的 发 布 时 间 紧 迫 , 因 此 最 终 
放弃 了 安全 管理 部 分 。 这 也 直接 导致 了 SNMP v3 的 推出 。 

为 了 实现 安全 的 、 可 管理 的 SNMP,IETF 在 1997 年 成 立 了 SNMP v3 工作 组 。SNMP 
v3 是 在 SNMP v2 基础 之 上 增加 了 安全 和 管理 机 制 的 协议 。SNMP v3 实现 了 以 下 几 个 目标 ， 

。 为 SNMP 的 文档 定义 了 组 织 结构 ,使 SNMP 协议 走向 成 熟 ; 

。 定义 了 统一 的 SNMP 管理 体系 结构 。 可 以 简单 地 实现 功能 的 增加 和 修改 ; 

。 总 结 了 对 SNMP 安全 特性 的 需求 ,并 强调 安全 与 管理 的 结合 

。 具有 很 强 的 适应 性 , 既 可 以 管理 简单 的 网 络 ,又 可 满足 大 型 复杂 网 络 的 管理 需求 。 

SNMP v3 没有 定义 其 他 新 的 SNMP 功能 。 而 安全 机 制 是 SNMP v3 的 最 具 特 色 的 内 
容 。 目 前 SNMP v3 已 经 是 IETF 的 标准 ,并 得 到 了 供应 商 们 的 强 有 力 支持 。 


2.2.2 SNMP 的 实现 原理 


SNMP 采用 了 C/S 模型 的 特殊 形式 : 代理 /管理 站 模型 。 对 网 络 的 管理 与 维护 是 通过 
管理 工作 站 与 SNMP 代理 间 的 交互 工作 完成 的 。 每 个 SNMP 从 代理 负责 回答 SNMP 管理 
工作 站 ( 主 代理 ) 关 于 MIB( 管 理 信息 库 ) 定 义 信 息 的 各 种 查询 。 

如 图 2-1 所 示 为 SNMP 的 工作 方式 。 网 络 管理 员 需 要 从 设备 中 获取 数据 ,此 过 程 一 般 
有 两 种 方式 : 一 是 管理 员 向 设备 发 出 读数 据 的 指令 ; 二 是 被 管理 设备 定期 向 管理 员 发 回 需 


要 的 数据 。 但 对 于 管理 员 或 管理 主机 来 说 ,都 要 进行 一 个 读 的 操作 。 所 以 SNMP 需要 提供 
读 操作 的 功能 。 管 理 员 在 对 设备 进行 配置 时 ,需要 SNMP 提供 写 操 作 。 这 样 才 能 够 完成 对 
设备 的 远程 管理 。 为 了 让 管理 员 及 时 了 解 管 理 设备 的 状态 , 当 设备 在 某 一 时 刻 发 生 状 态 改 
变 时 ,需要 由 SNMP 提供 Trap( 陷 阱 ) 操 作 。 
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2-1 SNMP 的 工作 方式 


从 被 管理 设备 中 收集 数据 通常 有 两 种 方法 : 一 种 是 轮 询 (Polling-Only) 方 法 ; 另 一 种 是 
基于 中 断 (Interrupt-Based) 的 方法 。 

1. 轮 询 (Polling-Only) 

SNMP 使 用 嵌入 到 网 络 设备 中 的 代理 软件 来 收集 网 络 的 通信 信息 和 有 关 网 络 设备 的 
统计 数据 。 代 理 软 件 不 断 地 收集 统计 数据 ,并 把 这 些 数据 记录 到 一 个 MIB 中 ,管理 进程 不 
断 通 过 向 代理 的 MIB 发 出 查询 信号 便 可 以 得 到 这 些 信息 ,这 个 过 程 就 叫 轮 询 。 为 了 能 全 面 
地 查看 一 段 时 间 的 通信 流量 和 变化 率 , 管 理 进程 必须 不 断 地 轮 询 设备 中 的 代理 。 这 样 ,管理 
站 可 以 使 用 SNMP 来 评价 网 络 的 运行 状况 ,并 发 现 通信 的 趋势 ,如 哪个 网 段 接近 通信 负载 
的 最 大 能 力 或 有 可 能 出 现 错误 等 。 先 进 的 SNMP 网 管 系统 甚至 可 以 通过 编程 来 自动 关闭 
端口 或 采用 其 他 矫正 措施 来 处 理 历史 的 网 络 数 据 。 

采用 轮 询 方法 ,可 使 系统 相对 简单 ,能 限制 通过 网 络 所 产生 的 管理 信息 的 通信 量 。 

但 是 该 方法 的 一 个 缺陷 就 是 不 够 灵活 。 使 用 轮 询 时 ,多 长 时 间 轮 询 一 次 、 轮 询 时 选择 什 
么 样 的 设备 顺序 都 会 对 轮 询 的 结果 产生 影响 。 轮 询 的 间隔 时 间 太 短 ,会 产生 不 必要 的 通信 
量 ; 间隔 时 间 太 长 ,而且 轮 询 时 顺序 不 统一 , 则 会 导致 获取 一 些 大 的 灾难 性 事件 的 时 间 存 在 
延迟 ,所 以 在 使 用 轮 询 方法 时 管理 的 设备 数目 不 能 太 多 。 此 外 轮 询 系统 的 开销 也 较 大 ,如 果 
轮 询 频繁 而 并 未 得 到 有 用 的 报告 , 则 通信 线路 和 计算 机 的 CPU 周期 就 被 浪费 了 。 

2. 中 断 (Interrupt-Based) 

与 轮 询 相 比 , 当 有 异常 事件 发 生 时 ,使 用 中 断 的 方法 可 以 立即 通知 网 管 系统 ,实时 性 很 
强 。 但 这 种 方法 也 有 缺陷 : 产生 错误 或 陷阱 (Trap) 需 要 系统 资源 。 如 果 陷 阱 必须 转发 大 量 
的 信息 ,那么 被 管理 设备 可 能 不 得 不 消耗 更 多 的 事件 和 系统 资源 来 产生 陷阱 ,这 将 会 影响 到 
网 络 管理 的 主要 功能 。 

SNMP 不 是 完全 的 轮 询 协议 , 它 允 许 不 经 过 询问 就 能 发 送 某 些 信息 。 这 种 信息 称 为 陷 
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阱 ,表示 它 能 够 捕捉 * 事 件 ”。 这 种 陷阱 信息 的 参数 是 受 限 制 的 。 当 被 管 代 理 检测 到 有 事件 
发 生 时 ,就 检查 其 门限 值 ,并且 向 管理 进程 报告 。 使 用 这 种 方法 的 好 处 是 陷阱 信息 很 简单 且 
所 需 字 节 数 很 少 ,一 般 仅 在 严重 事件 发 生 时 才 发 送 陷阱 。 

但 是 如 果 几 个 同类 型 的 陷阱 事件 接连 发 生 ,那么 大 量 网 络 带 宽 可 能 将 被 相同 的 信息 所 
占用 。 尤 其 是 当 陷 阱 是 由 网 络 阻塞 引起 时 ,事情 就 变 得 特别 糟糕 。 

目前 执行 网 络 管理 最 有 效 的 方法 是 将 轮 询 和 中 断 两 种 方式 相 结合 ,我 们 称 之 为 面向 陷 
阱 的 轮 询 CTrap-Directed Polling) 。 一 般 来 说 ,网 络 管理 工作 站 通过 对 被 管理 设备 中 的 代理 
来 收集 数据 ,并 且 在 控制 台 上 用 数字 或 图 形 方法 来 显示 这 些 数据 ,以 便于 网 络 管理 员 分 析 和 
管理 网 络 中 的 设备 及 网 络 的 通信 量 。 被 管理 设备 中 的 代理 可 以 在 任何 时 候 向 网 络 管理 工作 
站 报告 错误 情况 ,避免 了 轮 询 中 的 不 足 。 在 这 种 方法 中 , 当 一 个 设备 产生 了 一 个 陷阱 时 ,可 
以 在 网 络 管理 工作 站 上 查询 该 设备 ,以 获得 更 多 的 信息 。 


2.3 SNMP 网 络 管理 模型 


2.3.1 SNMP 网 络 管理 体系 结构 


与 TCP/IP 结构 类 似 ,SNMP 不 仅仅 只 是 一 个 协议 ,而 是 由 一 系列 协议 和 规范 组 成 的 ， 
它们 一 起 提供 了 一 种 从 网 络 设备 中 收集 网 络 管理 信息 的 方法 。 

SNMP 网 络 管 理 体系 结构 包括 两 级 组 织 模式 (Two-Tier Organization Model) ,三 级 组 
织 模式 (Three -Tier Organization Model) 代理 服务 器 组 织 模式 (Proxy Server Organization 
Model) 等 ,这 里 主要 介绍 两 级 组 织 模式 和 三 级 组 织 模式 。 

两 级 组 织 模式 是 基本 的 SNMP 体系 结构 。SNMP 的 两 级 组 织 模式 包括 在 管理 者 上 运 
行 的 管理 进程 和 在 被 管理 实体 上 运行 的 管理 代理 进程 。 管 理 代理 对 来 自 管理 者 的 管理 请 求 
进行 响应 。 多 个 管理 者 可 以 与 一 个 管理 代理 进行 交互 ,SNMP 的 两 级 组 织 模式 如 图 2-2 所 示 。 
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SNMP SNMP 
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图 2-2 SNMP 两 级 组 织 模式 


在 SNMP 的 两 级 组 织 模式 中 ,管理 者 直接 向 管理 代理 提出 管理 请 求 ,接收 和 处 理 管 理 
代理 传送 的 被 管理 者 信息 。 

为 了 获得 更 高 的 性 能 和 灵活 性 ,有 时 需要 架设 SNMP 的 三 级 组 织 模式 。 三 级 组 织 模式 
是 在 管理 者 和 被 管 实体 之 间 增 加 一 个 被 称 为 RMON 的 中 间 代 理 ,RMON 负责 统计 收集 被 


管 对 象 的 信息 , 当 管理 者 需要 查询 这 些 信 息 时 ,可 以 由 RMON 直接 提供 。 管 理 者 可 以 同时 
从 被 管理 实体 的 管理 代理 和 中 间 代 理 接收 数据 ,而 不 需要 持续 不 断 地 监控 、 统 计 被 管理 实体 
的 信息 。SNMP 三 级 组 织 模式 如 图 2-3 所 示 。 
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2-3 SNMP 三 级 组 织 模式 


2.3.2 SNMP 网 络 管理 模型 及 典型 应 用 


在 第 1 章 中 ,我 们 曾 简单 地 介绍 了 网 络 管理 的 基本 模型 ,该 模型 就 是 基于 SNMP 体系 
结构 ,因此 在 SNMP 网 络 管理 模型 中 同样 有 4 个 基本 组 成 部 分 : 管理 者 (Manager) ,管理 代 
理 (Agent) ,管理 协议 和 管理 信息 库 (MIB)。SNMP 的 4 个 组 成 部 分 已 经 在 第 1 章 中 做 过 
介绍 ,此 处 不 再 重复 。 对 被 管理 实体 的 管理 与 维护 是 通过 网 络 管理 协议 ,由 管理 者 与 管理 代 
理 之 间 的 交互 工作 来 完成 的 ,如 图 2-4 所 示 。 
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被 管 设 备 被 管 设 备 被 管 设备 
图 2-4 SNMP 网 络 管理 模型 


SNMP 是 为 了 实现 对 网 络 的 管理 而 使 用 的 一 种 通信 协议 ,可 以 运行 在 TCP/IP 协议 簇 
上 ,对 网 络 中 支持 SNMP 的 设备 进行 管理 。 图 2-5 展示 了 一 个 典型 的 应 用 。 
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2-5 SNMP 的 典型 应 用 示意 图 


网 络 管理 员 可 以 通过 操作 管理 工作 站 与 各 种 支持 SNMP 的 设备 进行 通信 ,从 而 实现 对 
设备 的 统一 管理 。 不 管 这 些 设备 是 由 哪些 厂商 生产 ,也 不 管 具体 的 型 号 ,只 要 支持 SNMP， 
就 可 以 通过 统一 的 操作 界面 进行 统一 的 管理 。 这 样 ,网 络 管理 员 就 不 用 学 习 每 一 种 设备 的 
具体 操作 方法 。 例 如 ,在 同一 网 络 中 可 能 同时 有 3COM 4400 交换 机 、Cisco 2950 交换 机 、 
Cisco 3550 交换 机 、Cisco 3745 路 由 器 、PIX525 防火 墙 \Linux 数据 库 服 务 器 、Windows 
Server 2008 邮件 服务 器 ,由 于 这 些 设备 都 支持 SNMP, 因 此 可 以 在 同一 个 操作 界面 下 对 各 
个 设备 进行 集中 管理 ,而 不 需要 单独 了 解 每 一 个 设备 的 具体 操作 方法 。 

目前 , 像 Oracle、WebLogic Server 等 大 型 的 数据 库 和 应 用 服务 器 软件 都 提供 了 SNMP 
管理 功能 ,只 要 启动 了 SNMP 进程 ,就 可 以 像 管理 交换 机 、 路 由 器 等 设备 一 样 来 管理 数据 库 
或 应 用 服务 器 系统 。 


2.4 SNMP 系统 的 组 成 


虽然 SNMP 已 经 从 1989 年 第 1 个 版 本 SNMP vl 发 展 到 现在 的 SNMP v3 ,功能 在 不 
断 加 强 和 完善 ,但 是 SNMP 的 组 成 一 直 没 有 变化 ,如 图 2-6 所 示 。 
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图 2-6 SNMP 系统 的 组 成 


从 图 2-6 可 以 看 出 ,SNMP 运行 在 TCP/IP 网 络 上 ,基于 面向 非 连接 的 UDP 协议 进行 
数据 传输 。SNMP 本 身 运行 在 应 用 层 , 整 个 系统 由 SMI、MIB 和 SNMP 协议 组 成 。 


2.4.1 管理 信息 结构 SMI 


作为 被 管理 实体 的 网 络 设备 ,通常 在 生产 时 由 制造 商 在 设备 中 设 定 管理 信息 库 。 如 果 
没有 一 个 统一 的 标准 ,制造 商 为 设备 设 定 的 信息 管理 库 将 会 互 不 兼容 ,使 得 SNMP 的 管理 
产生 极 大 的 混乱 。 于 是 SNMP 发 布 了 SMI(CStructure of Management Information) , 这 个 
标准 为 定义 和 构造 MIB 提供 了 一 个 通用 的 框架 ,规定 了 MIB 中 被 管 对 象 的 数据 类 型 及 其 
表示 和 命名 方法 。SMI 的 目的 是 保持 MIB( 管 理 信息 库 ) 的 简单 性 、 可 扩展 性 ,从 而 简化 管 
理 , 加 强 互 操作 性 ,满足 协同 操作 的 要 求 。 

SMI 采用 抽象 语法 符号 1(Abstract Syntax Notation One,ASN. 1) 描 述 形 式 , 定 义 了 因 
特 网 6 个 主要 的 管理 对 象 类 型 : 网 络 地址 、IP 地 址 .时 间 标 记 、 计 数 器 .计量 器 和 非 透明 数据 
类 型 。SMI 采用 ASN. 1 中 的 宏 来 定义 SNMP 中 对 象 的 类 型 和 值 。SMI 提供 一 个 标准 的 方 
法 来 表示 管理 信息 ,规定 每 个 被 管 对 象 都 具有 3 个 属性 : 名 字 、 语 法 和 编码 。 

为 了 能 够 唯一 地 标识 MIB 中 的 对 象 类 型 ,SMI 采用 ASN. 1 中 的 树 形 结构 来 组 织 被 管 
理 实体 的 管理 信息 ,其 中 每 个 信息 是 一 个 带 标 号 的 节点 , 树 形 结构 的 叶子 节点 表示 被 管理 实 
体 的 管理 信息 。 如 图 2-7 所 示 ,每 个 MIB 对 象 都 用 对 象 标 识 符 (Object IDentifier, OID) 来 
唯一 地 标识 。 每 个 节点 都 可 以 使 用 数字 和 字符 两 种 方式 显示 ,其 中 OID 是 由 句点 隔 开 的 一 
组 整数 ,也 就 是 从 根 节 点 通 向 该 节点 的 路 径 , 它 命名 节点 并 指示 节点 在 ASN. 1 树 中 的 准确 

根 


ccitt(0) iso(1) joint-iso-ccitt(2) 
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图 2-7 信息 管理 库 中 的 对 象 标 识 
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位 置 。 一 个 带 标号 节点 可 以 包含 其 他 带 标号 节点 ,这 些 节 点 都 是 它 的 子 树 。 没 有 子 树 的 节 
点 被 称 为 叶子 节点 , 它 包含 一 个 值 并 被 称 为 对 象 。 

图 2-7 中 SMI 在 internet 节点 之 下 定义 了 directory、mgmt、experimental、private 等 几 
个 节点 ,其 中 directory 为 与 OSI 相关 的 将 来 用 作 保 留 的 节点 。mgnt 用 于 在 IAB 批准 的 文 
档 中 定义 的 对 象 ; experimental 用 于 标识 在 Internet 实验 中 应 用 的 对 象 ; 而 private 用 于 标 
识 专用 对 象 。 

从 mib-2(1) 节 点 往 下 展开 ,下 层 的 中 间 节 点 代表 的 子 树 是 与 每 个 网 络 资源 或 网 络 协议 
相关 的 信息 集合 ,例如 ,有 关 IP 协议 的 管理 信息 都 放置 在 ip(4) 子 树 中 ,这 样 沿 着 树 的 层次 
访问 相关 信息 就 很 方便 。 

由 于 SNMP 系统 的 设计 目标 是 简化 网 络 管理 ,而 SMI 也 对 ASN. 1 进行 了 限制 和 简化 ,只 
用 到 其 中 很 小 的 部 分 。 因 此 ,MIB 只 能 存储 标量 和 标量 的 二 维 数据 等 简单 的 数据 类 型 。SMI 
不 支持 复杂 数据 结构 的 创建 和 检索 。 有 关 SMI 的 定义 可 参考 RFC 1155、RFC 1212 文档 。 


2.4.2 管理 信息 库 


所 谓 “ 管 理 信息 ”, 就 是 指 在 互联 网 的 网 管 框架 中 被 管 对 象 的 集合 。 被 管 对 象 必须 维持 
可 供 管理 程序 读 写 的 若干 控制 和 状态 信息 。 这 些 被 管 对 象 构成 了 一 个 虚拟 的 信息 存储 器 ， 
所 以 才 成 为 管理 信息 库 (Management Information Base, MIB) 。 

在 SNMP 管理 体系 中 ,每 个 被 管 设备 ,如 交换 机 、 路 由 器 防火墙. 服务 器 等 ,都 各 自 维 
护 着 一 个 含有 自身 运行 状态 的 MIB。 如 图 2-8 所 示 ,SNMP 的 管理 信息 库 采用 和 域名 系统 
(DNS) 相 似 的 树 形 结构 ,其 中 每 一 个 叶子 节点 代表 一 个 信息 、 变 量 或 配置 ,设备 对 这 棵 树 中 
的 叶子 节点 进行 赋值 ,以 反映 自己 的 状态 。 管 理 站 读 取 相应 的 变量 以 获取 网 络 节点 设备 的 
状态 信息 ,管理 站 也 可 以 通过 修改 某 些 值 从 而 实现 简单 的 控制 功能 。 
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wago(13576) 
图 2-8 管理 信息 库 结构 (部 分 ) 
在 这 个 树 形 结构 里 ,SNMP 协议 消息 通过 遍历 MIB 树 形 目录 中 的 节点 (OID) 来 访问 网 


络 中 的 设备 。 例 如 ,ODI,1. 3.6. 1 代表 的 对 象 是 从 命名 为 1 的 顶级 节点 开始 ,后 续 的 下 级 节 
点 3, 再 下 一 级 是 6, 以 此 类 推 。 


最 初 的 节点 mib 将 其 所 管理 的 信息 分 为 8 个 类 别 , 如 表 2-1 所 示 。 现 在 的 mib-2 所 包 
含 的 信息 类 别 已 超过 40 个 。 


表 2-1 最 初 的 节点 mib 管理 的 信息 类 别 


类 别 标号 所 包含 的 信息 
system 《1) 主机 或 路 由 器 的 操作 系统 
interfaces (2) 各 种 网 络 接口 及 其 测定 通信 和 量 
address translation (3) 地 址 转换 (如 ARP 映射 ) 
ip (4) Internet 软件 (IP 分 组 统计 ) 
icmp (5) ICMP 软件 (已 收 到 ICMP 消息 的 统计 ) 
tcp (6) TCP 软件 (算法 ,参数 和 统计 ) 
udp (7) UDP 软件 (UDP 通信 量 统计 ) 
egp (8) EGP 软件 (外 部 网 关 协 议 通信 量 统计 ) 


MIB 的 定义 与 具体 的 网 络 管理 协议 无 关 , 这 对 于 设备 制造 商 和 用 户 来 说 都 是 有 利 的 。 
设备 制造 商 可 以 在 产品 (如 路 由 器 ,交换 机 等 ) 中 包含 SNMP 代理 软件 ,并 保证 在 新 的 MIB 
项 目 后 该 软件 仍 遵循 标准 。 用 户 可 以 使 用 同一 网 络 管理 软件 来 管理 具有 不 同 版 本 的 MIB 
的 多 个 设备 。 


2.4.3 简单 的 网 络 管理 协议 (SNMP) 


之 前 已 经 介绍 过 SNMP 中 的 管理 程序 和 代理 程序 按 客户 服务 器 方式 工作 。 管 理 程序 
运行 SNMP 客户 程序 ,而 代理 程序 运行 SNMP 服务 器 程序 。 在 被 管 对 象 上 运行 SNMP 服 
务 器 程序 不 停 地 监听 来 自 管理 站 的 SNMP 客户 程序 的 请 求 (或 命令。 一旦 发 现 了 ,就 立即 
返回 管理 站 所 需 的 信息 ,或 执行 某 个 动作 (例如 ,把 某 个 参数 的 设置 进行 更 新 )。 在 网 管 系统 
中 一 个 (或 少数 几 个 ) 客 户 程 序 往往 与 很 多 的 服务 器 程序 进行 交互 。 

SNMP 的 协议 环境 如 图 2-9 所 示 。 首 先 从 管理 站 发 出 3 类 与 管理 应 用 有 关 的 SNMP 
消息 GetRequest、GetNextRequest、SetRequest。3 类 消息 都 由 代理 用 GetResponse 消息 应 
答 ,该 消息 被 上 交 给 管理 应 用 进程 。 此 外 ,代理 可 以 发 出 Trap 消息 ,向 管理 站 报告 有 关 
MIB 及 管理 资源 的 事件 。 
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图 2-9 SNMP 的 协议 环境 
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从 之 前 的 图 2-6 可 以 看 出 ,在 SNMP 系统 中 SNMP 协议 属于 MIB 和 SMI 的 下 层 , 管 理 
者 从 设备 MIB 中 读 取 的 数据 要 被 SNMP 协议 封装 ,然后 再 封装 为 UDP 数据 报 , 最 后 再 封 
装 在 IP 分 组 中 进行 传输 。 

下 面 就 详细 介绍 SNMP 协议 。 


2.5 SNMP 协议 


SNMP 定义 了 管理 站 和 代理 之 间 所 交换 的 分 组 格式 。 所 交换 的 分 组 包括 各 代理 中 的 
对 象 (变量 ) 名 及 其 状态 ( 值 )。SNMP 负责 读 取 和 改变 这 些 数值 。 


2.5.1 SNMP 的 协议 数据 单元 和 报 文 


SNMP 的 操作 只 有 两 种 基本 的 管理 功能 . 即 : 

(1)“ 读 ”操作 ,用 Get 报 文 来 检测 各 被 管 对 象 的 状况 。 

(2)“ 写 ”操作 ,用 Set 报 文 来 改变 各 被 管 对 象 的 状况 。 

SNMP 共 定 义 了 8 种 类 型 的 协议 数据 单元 [RFC 3416], 其 中 PDU 编号 4 的 已 经 废弃 
了 ,如 表 2-2 所 示 。 


表 2-2 SNMP 定义 的 协议 数据 单元 类 型 


PDU 编号 PDU 名 称 用 和 途 

0 GetRequest 管理 者 从 代理 读 取 一 个 或 一 组 变量 的 值 
管理 者 从 代理 读 取 MIB 树 上 下 一 个 变量 值 ( 即 使 不 知道 变量 名 也 
行 )。 此 操作 可 反复 进行 ,特别 是 按 顺序 一 一 读 取 列 表 中 的 值 很 方便 
代理 向 管理 者 或 管理 者 向 管理 者 发 送 对 五 种 Request 报 文 的 响应 ， 
并 提供 差错 码 ,差错 状态 等 信息 
SetRequest 管理 者 对 代理 的 一 个 或 多 个 MIB 变量 的 值 进行 设置 
GetBulkRequest | 管理 者 从 代理 读 取 大 数据 块 的 值 
InformRequest 管理 者 从 另 一 远程 管理 者 读 取 该 管理 者 控制 的 代理 中 的 变量 值 
SNMP v2 Trap “| 代理 向 管理 者 报告 代理 中 发 生 的 异常 事件 
Report 在 管理 者 之 间 报 告 某 些 类 型 的 差错 ,目前 尚未 定义 


1 GetNextRequest 


2 Response 


wla|lolalw 


SNMP 使 用 无 连接 的 UDP, 因 此 在 网 络 上 传送 SNMP 报 文 的 开销 较 小 。 虽 然 UDP 是 
不 保证 可 靠 交 付 , 但 UDP 非常 高 效 ,在 网 络 繁忙 时 照样 能 够 正常 工作 。 当 然 ,UDP 数据 报 
也 存在 不 足 , 如 事件 报警 (Trap) 有 可 能 无 法 按时 发 送 到 管理 进程 等 。 

另外 SNMP 协议 规定 ,在 运行 代理 程序 的 服务 器 端 用 熟知 端口 161 来 接收 Get 或 Set 
报 文 和 发 送 相应 报 文 , 但 在 运行 管理 程序 的 客户 端 则 使 用 熟知 端口 162 来 接收 来 自 各 自 代 
理 的 Trap 报 文 。 另 外 ,Trap 没有 响应 报 文 。 图 2-10 列举 了 SNMP 常见 5 种 协议 数据 单元 
以 及 对 应 的 端口 号 。 

在 图 2-10 中 ,前 3 种 Get、GetNext 和 Set 操作 是 由 管理 进程 向 代理 进程 发 出 的 ,后 面 2 
种 操作 是 代理 进程 发 给 管理 进程 的 。 

和 大 多 数 TCP/IP 协议 不 一 样 ,SNMP 报 文 没有 固定 的 字段 。 相 反 , 它 们 使 用 标准 
ASN. 1 编码 。SNMP 报 文 的 封装 过 程 如 图 2-11 所 示 。 
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2-10 SNMP 常见 5 种 PDU 的 操作 方式 


IP 数 据 报 | 
记 
IP 首 部 ] IP 数 据 部 分 | 
| UDP 数据 报 | 
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SNMP 报 文 | 
| siti | SNMP 数 据 部 分 | 


2-11 SNMP 报 文 封装 


以 SNMP vl 为 例 , 来 分 析 其 报 文 格式 。 一 个 SNMP 报 文 由 SNMP 首部 和 SNMP 协议 
数据 单位 两 大 部 分 组 成 。 

(1) SNMP 报 文 的 首部 。 

SNMP 报 文 的 首部 包括 版 本 、 共 同体 名 和 协议 数据 单元 类 型 3 个 组 成 部 分 ,如 图 2-12 
所 示 。 


SNMP 首 部 SNMP 数 据 部 分 
区 协议 数据 py 
版 本 “| 共同 体 名 | SNMP 数 据 部 分 | 


图 2-12 SNMP 首部 组 成 


。 版 本 (Version): 标识 SNMP 的 版 本 号 ,具体 写 和 人 时 为 SNMP 版 本 号 减 1, 例 如 ， 
SNMP v1 则 应 写 入 0。 


。 共同 体 名 (Community Name) : 共同 体 名 为 字符 串 , 用 于 管理 进程 和 代理 进程 之 间 
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的 认证 ,常用 的 共同 体 名 是 “public”。 

。 协议 数据 单元 类 型 (PDU Type) : 协议 数据 单元 类 型 为 数字 ,用 于 标识 SNMP 报 文 
的 类 型 。 

(2) SNMP 数据 部 分 。 

SNMP 数据 部 分 包括 请 求 标 识 符 、 差 错 状态 、 差 错 索 引 、 变 量 绑 定 ,如 图 2-13 所 示 。 


SNMP 首部 SNMP 数据 部 分 


请 求 标识 | 差错 状态 | 差错 索引 | 变量 绑 定 


2-13 SNMP 数据 部 分 组 成 


。 请 求 标识 (Request ID): 由 管理 进程 设置 的 4 字 节 整数 值 。 代 理 进 程 在 发 送 响应 报 
文 时 也 要 返回 此 请 求 标识 。 由 于 管理 进程 可 同时 向 许多 代理 发 出 请 求 读 取 变量 值 
的 报 文 , 因 此 设置 了 请 求 标识 可 使 管理 进程 能 够 识别 返回 的 响应 是 对 应 于 哪 一 个 请 
求 报 文 。 

。 差错 状态 (Error Status) : 在 请 求 报 文中 ,这 个 字段 是 零 。 当 代理 进程 响应 时 ,就 填 
入 0 一 18 中 的 一 个 数字 。 例 如 0 表示 noError( 一 切 正常 ),1 表示 tooBig,2 表示 
noSuchName,3 表示 badValue, 等 等 ,具体 可 参考 RFC 3416 。 

。 差错 索引 (Error Index) : 在 请 求 报 文中 ,这 个 字段 是 零 。 当 代理 进程 响应 时 , 若 出 
现 noSuchName、badValue 的 差错 ,代理 进程 就 设置 一 个 整数 ,指明 有 差错 的 变量 在 
变量 列表 中 的 偏 移 。 

。 变量 绑 定 (Variable-bindings): 指明 一 个 或 多 个 变量 的 名 称 和 对 应 值 。 在 Get 或 
Getnext 报 文中 ,变量 的 值 被 忽略 。 


2.5.2 SNMP 安全 控制 


目前 的 网 络 管理 是 一 种 分 布 式 的 应 用 ,由 于 SNMP 协议 自身 安全 问题 以 及 所 处 的 网 络 

环境 状况 ,SNMP 经 常 成 为 攻击 者 关注 的 目标 ,目前 SNMP 面临 以 下 5 种 主要 的 安全 威胁 。 

。 伪造 ; 攻击 者 假冒 侵权 用 户 对 被 管 设备 进行 未 授权 管理 操作 ,导致 网 络 管理 混乱 或 
失控 。 

。 消息 流 修改 : SNMP 消息 的 传输 是 基于 无 连接 的 UDP 协议 传输 ,这 种 传输 服务 容 
易 产生 消息 的 重新 排序 、 延 迟 、 重 放 。 攻 击 者 可 以 利用 SNMP 协议 传输 的 脆弱 性 ， 
以 授权 用 户 的 身份 修改 SNMP 消息 ,生成 虚假 的 管理 信息 。 

。 拒绝 服务 攻击 : 攻击 者 利用 SNMP 系统 的 脆弱 性 ,发 送 大量 的 管理 信息 或 者 虚假 管 
理 配 置信 息 ,导致 网 络 中 断 。 

。 消息 窃听 : 攻击 者 通过 安装 特殊 软件 或 设备 ,窃听 明文 传送 的 SNMP 消息 ,特别 是 
管理 设备 的 访问 口令 。 


。 流量 分 析 : 攻击 者 通过 分 析 SNMP 消息 传递 ,挖掘 出 一 些 敏感 信息 。 

正 是 由 于 对 SNMP 安全 威胁 分 析 和 SNMP 应 用 特点 的 研究 ,增强 安全 功能 成 为 
SNMP 关注 的 重点 。RFC1157 给 出 了 SNMP 中 管理 站 和 被 管理 的 一 种 认证 访问 控制 机 
制 , 这 种 机 制 由 两 部 分 组 成 : 基于 团体 名 认证 (Community Authentication) 机 制 和 基于 共同 
体 名 的 访问 授权 (Community Profile) 机 制 。 该 共同 体 名 认证 机 制 保 证 管理 站 和 代理 之 间 
的 通信 是 经 过 授权 的 ,从 管理 站 发 送 到 代理 的 消息 都 有 一 个 共同 体 名 ,与 口令 类 似 , 通 过 共 
同体 名 验证 的 消息 才 是 有 效 的 。 

共同 体 是 一 个 在 被 管理 设备 中 定义 的 本 地 概念 。 被 管理 设备 为 每 组 可 选 的 认证 ,访问 
控制 和 代理 特性 建立 一 个 共同 体 。 每 个 共同 体 被 赋予 一 个 在 被 管理 设备 内 部 唯一 的 共同 体 
名 ,该 共同 体 名 要 提供 给 SNMP 系统 内 的 所 有 管理 进程 ,以 便 它们 在 Get 和 Set 操作 中 
应 用 。 

SNMP 除了 提供 共同 体 名 认证 机 制 外 ,还 需要 一 个 访问 控制 机 制 , 解 决 代理 如 何 控 制 
自己 的 管理 信息 库 的 问题 ,以 防止 管理 站 非 授 权 访 问 管理 信息 库 。 例 如 ,只 有 授权 的 管理 站 
才 允 许 访 问 管理 信息 库 , 或 限制 不 同 的 管理 站 可 以 访问 管理 信息 库 的 不 同 部 分 。 在 SNMP 
管理 中 ,提供 了 一 种 SNMP 访问 策略 控制 代理 访问 形式 , 它 是 通过 定义 代理 访问 被 管理 设 
备 的 MIB 变量 操作 间接 来 实现 。 代 理 访问 被 管理 设备 的 MIB 变量 操作 有 4 种 : 无 (none)、 
只 读 (read-only)、 只 写 (write-only), 读 写 (read-write)。SNMP Community Profile 就 是 一 
个 代理 对 被 管理 实体 的 MIB 访问 操作 集合 。 


2.6 课 后 习题 


. 阅读 SNMP 相关 的 RFC 文档 。 

. SNMP 是 什么 ? 它 的 主要 用 途 是 什么 ? 

. 一 个 SNMP 系统 有 哪 三 部 分 组 成 ? 简单 介绍 每 一 部 分 的 功能 。 
. 什么 是 MIB? 

. 试 分 析 SNMP 基于 UDP 协议 的 原因 。 

. 分 析 SNMP 常见 的 5 类 PDU 的 功能 。 

. 叙述 SNMP 协议 的 发 展 及 应 用 。 

. 请 简 述 MIB、SMI 和 SNMP 协议 之 间 的 关系 。 


[> 


SNMP 网 络 营 理 架 欧 


震 N 测 


第 3 章 用 户 管理 


3.1 导语 : 为 什么 要 进行 用 户 管 理 


在 Windows Server 2008 中 ,每 个 用 户 都 必须 要 有 一 个 帐户 ,以 便利 用 这 个 帐户 登录 到 
台 计 算 机 ,返回 访问 该 计算 机 的 资源 ,或 者 利用 这 个 帐户 登录 到 域 ,然后 访问 网 络 上 的 

Windows Server 2008 的 用 户 管理 有 两 种 : 本 地 用 户 帐 户 和 域 用 户 帐 户 。 

本 地 用 户 帐户 是 创建 在 非 域 控 制 器 的 “本 地 安全 帐户 数据 库 ” 内 ,而 不 是 域 控制 器 的 
Active Directory 数据 库 内 。 这 些 非 域 控制 器 包含 Windows Server 2008、Windows 2003、 
Windows 2000、Windows NT 独立 服务 器 或 成 员 服 务 器 等 计算 机 。 本 地 用 户 帐 户 只 存在 于 
这 台 计 算 机 内 ,它们 既 不 会 被 复制 到 域 控制 器 的 活动 目录 ,也 不 会 被 复制 到 其 他 计算 机 的 
“本 地 安全 帐户 数据 库 ” 内 。 当 用 户 利用 本 地 用 户 帐 户 登 录 时 ,由 这 台 计 算 机 利用 其 中 的 “本 
地 安全 帐户 数据 库 ? 检 查 帐 户 名 称 与 密码 是 否 正确 。 

域 用 户 帐户 存储 在 域 控制 器 的 Active Directory 数据 库 内 。 用 户 可 以 利用 域 用 户 帐户 
登录 域 ,并 利用 它 访问 网 络 上 的 资源 。 当 用 户 利用 域 用 户 帐户 登录 时 ,这 个 帐户 数据 会 被 送 
到 域 控制 器 ,并 由 域 控制 器 检查 用 户 所 输入 的 帐户 名 称 与 密码 是 否 正确 。 在 将 用 户 帐户 创 
建 在 某 台 域 控制 器 后 ,这 个 帐户 会 被 自动 复制 到 同一 个 域内 的 其 他 所 有 域 控制 器 内 。 因 此 ， 
当 用 户 登 录 时 ,该 域内 的 所 有 域 控制 器 都 可 以 检查 用 户 所 输入 的 帐户 名 称 与 密码 是 否 正确 。 


3.2 本 地 用 户 帐户 


每 台 Windows Server 2008 计算 机 都 有 一 个 本 地 安全 帐户 管理 器 (Security Account 
Manager,SAM) ,用 户 在 使 用 计算 机 前 都 必须 登录 该 计算 机 ,也 就 是 要 提供 有 效 的 用 户 名 与 
密码 。 而 这 个 帐户 就 是 创建 在 本 地 安全 帐户 管理 器 内 ,这 个 帐户 被 称 为 本 地 用 户 帐 户 ; 同 
理 , 创 建 在 本 地 安全 帐户 管理 器 内 的 组 被 称 为 本 地 组 帐户 。 


3.2.1 内 置 本 地 用 户 帐 户 


Windows Server 2008 内 置 了 两 个 用 户 帐 户 。 

1. Administrator( 系统 管理 员 ) 

Administrator 拥有 最 高 的 权限 ,用 户 可 以 用 它 来 管理 计算 机 ,例如 创建 更 改 、 删 除 用 
户 与 组 帐户 ,设置 安全 原则 、 添 加 打印 机 、 设 置 用 户 权 限 等 。 此 帐户 无 法 删除 ,不 过 为 了 更 安 
全 起 见 ,建议 将 其 改名 。 


2. Guest( 来 宾 ) 
Guest 是 提供 给 没有 帐户 的 用 户 临时 使 用 的 , 它 只 有 有 限 的 权限 。 可 以 更 改 其 名 称 ,但 
是 无 法 将 它 删除 。 此 帐户 默认 是 禁用 的 。 


3.2.2 内 置 本 地 组 帐户 


系统 内 置 了 许多 本 地 组 ,这 些 组 本 身 都 已 经 被 赋予 一 些 权 限 ,以 便于 它们 具有 管理 本 地 
计算 机 或 访问 本 地 资源 的 权限 。 只 要 将 用 户 加 入 到 这 些 本 地 组 内 ,这 些 用 户 帐 户 也 将 具备 
该 组 所 拥有 的 权限 。 

1. Administrators 

此 组 内 的 用 户 具备 系统 管理 员 的 权限 ,他 们 拥有 对 这 台 计 算 机 最 大 的 控制 权 , 可 以 执行 
整 台 计算 机 的 管理 功能 。 内 置 的 系统 管理 员 帐 户 Administrator 即 属于 此 组 ,而 且 无 法 将 它 
从 此 组 内 删除 。 

2. Backup Operators 

此 组 内 的 用 户 可 以 通过 Windows Server Backup 工具 来 备份 或 还 原 计 算 机 内 的 文件 ， 
不 论 它们 是 否 有 权限 访问 这 些 文件 。 

3. Guests 

此 组 内 的 用 户 无 法 永久 改变 其 桌面 的 工作 环境 , 当 用 户 登录 时 ,系统 会 为 其 创建 一 个 临 
时 的 用 户 配置 文件 ,而 注销 时 此 配置 文件 就 会 被 删除 。 此 组 默认 成 员 为 用 户 帐户 Guest。 

4. Network Configuration Operators 

此 组 内 的 用 户 可 以 执行 一 般 的 网 络 配置 功能 ,例如 更 改 IP 地 址 ; 但 是 不 可 以 安装 、 印 
载 驱 动 程序 与 服务 ,也 不 可 以 执行 与 网 络 服务 器 配置 有 关 的 功能 。 

5. Performance Monitor Users 

这 个 组 内 的 用 户 具备 从 本 地 和 远程 访问 计算 机 的 功能 。 

6. Power Users 

为 了 简化 组 ,这 个 在 旧版 Windows 系统 存在 的 组 即将 被 淘汰 。 

7. Remote Desktop Users 

此 组 内 的 用 户 可 以 从 远程 计算 机 使 用 终端 服务 登录 。 

8. Users 

此 组 内 的 用 户 只 拥有 一 些 基 本 权限 ,但 是 他 们 不 能 将 文件 夹 共 享 给 网 络 上 其 他 的 用 户 、 
不 能 将 计算 机 关闭 等 。 添 加 的 所 有 本 地 用 户 帐户 都 自动 归属 于 此 组 。 


3.2.3 特殊 组 帐户 
Windows Server 2008 还 有 一 些 特殊 组 帐户 ,而且 无 法 更 改 这些 组 的 成 员 。 


1. Everyone 

任何 一 位 用 户 都 属于 这 个 组 。 如 果 Guest 帐户 被 启用 , 则 给 Everyone 授予 权限 时 需 小 
心 , 因 为 如 果 一 个 在 计算 机 没有 帐户 的 用 户 , 通 过 网 络 来 登录 该 计算 机 时 ,他 会 被 自动 允许 
使 用 Guest 帐户 来 连接 。 这 样 由 于 Guest 属于 Everyone 组 ,他 将 会 具有 Everyone 拥有 的 
权限 。 
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2. Authenticated Users 
任何 使 用 有 效 帐 户 登录 计算 机 的 用 户 。 
3. Interactive 

任何 在 被 本 地 登录 的 用 户 。 

4. Anonymous Logon 


匿名 登录 。 不 属于 Everyone 组 。 


3.3” 域 用 户 帐 户 


3.3.1 并 


域 ,是 网 络 对 象 的 逻辑 组 织 单元 。 域 既是 Windows Server 2008 网 络 操作 系统 环境 下 
Intranet 的 逻辑 组 织 单元 ,也 是 Internet 的 逻辑 组 织 单元 。 这 些 对 象 如 用 户 、 组 和 计算 机 
等 。 域 中 所 有 的 对 象 都 存储 在 Active Directory 下 。Active Directory 可 以 常 驻 在 某 个 域 中 
的 一 个 或 多 个 域 控制 器 下 。 当 一 个 域 与 其 他 域 建立 了 信任 关系 后 ,两 个 域 之 间 不 但 可 以 按 
需要 相互 进行 管理 ,而 且 可 以 跨 网 分 配 文件 和 打印 机 等 设备 资源 ,使 不 同 的 域 之 间 实 现 网 络 
资源 的 共享 与 管理 。 

每 个 域 都 是 一 个 安全 界限 ,这 意味 着 安全 策略 和 设置 (例如 系统 管理 权利 、 安 全 策略 和 
访问 控制 表 ) 不 能 跨越 不 同 的 域 。 特 定 域 的 系统 管理 员 有 权 设 置 仅 属于 该 域 的 策略 。 每 个 
域 都 是 一 个 安全 壁垒 ,因此 不 同 的 系统 管理 员 可 以 在 单位 中 创建 和 管理 不 同 的 域 。 


3.3.2 Active Directory 活动 目录 


Active Directory 即 活 动 目录 。Windows Server 2008 提供 的 目录 服务 ,存储 若干 网 络 
上 的 对 象 的 信息 ,并 使 管理 员 和 用 户 更 方便 地 查找 、 使 用 这 种 信息 。Active Directory 使 用 
结构 化 的 数据 存储 作为 目录 信息 的 逻辑 化 以 及 分 层 结 构 的 基础 。 

通过 登录 验证 及 目录 中 对 象 的 访问 控制 ,将 安全 性 集成 到 Active Directory 中 。 通 过 一 
次 登录 ,管理 员 可 以 管理 整个 网 络 中 的 目录 数据 和 单位 .并 且 获 得 授权 的 域 用 户 可 以 访问 网 
络 上 任何 地 方 的 资源 。 这 样 基 于 策略 的 管理 减轻 了 复杂 的 管理 带 来 的 负担 。 

活动 目录 (Active Directory) 主 要 提供 以 下 功能 : 

(1) 基础 网 络 服 务 一 一 包括 DNS、WINS、DHCP .证 书 服务 等 。 

(2) 服务 器 及 客户 端 计算 机 管理 一 一 管理 服务 器 及 客户 端 计算 机 帐户 ,所 有 服务 器 及 
客户 端 计算 机 加 入 域 管理 并 实施 组 策略 。 

(3) 用 户 服务 一 一 管理 用 户 域 帐户 ,用户 信息 、 企 业 通信 有 录 ( 与 电子 邮件 系统 集成 )、 用 
户 组 管理 ,用户 身 份 认证 .用户 授权 管理 等 ,实施 组 管理 策略 。 

(4) 资源 管理 一 一 管理 打印 机 、 文 件 共享 服务 等 网 络 资源 。 

(5) 桌面 配置 一 一 系统 管理 员 可 以 集中 的 配置 各 种 桌面 配置 策略 ,如 : 用 户 使 用 域 中 
资源 权限 限制 .界面 功能 限制 .应 用 程序 执行 特征 限制 .网 络 连接 限制 .安全 配置 限制 等 。 

(6) 应 用 系统 支撑 一 一 支持 财务 、 人 事 、 电 子 邮 件 、 企 业 信息 门户 、 办 公 自 动 化 .补丁 管 
理 、 防 病毒 系统 等 各 种 应 用 系统 。 


3.3.3 域 用 户 


域 用 户 帐户 是 在 整个 域 中 的 用 户 帐户 ,存储 在 域 控 制 器 中 的 活动 目录 里 面 。Windows 
Server 2008 通过 Active Directory 管理 域 用 户 帐 户 。 

1. 域 用 户 帐户 类 型 

Windows Server 2008 系统 安装 并 创建 域 是 自动 创建 三 个 用 户 帐户 : Administrator、 
Guest 和 HelpAssistant 。 

1) Administrator 

Administrator 具有 对 域 的 完全 控制 权 ,可 以 在 必要 的 时 候 为 域 用户 指 派 用 户 权 利和 访 
问 控制 权限 。 该 帐户 只 用 于 需要 管理 凭据 的 任务 。 该 用 户 无 法 删除 ,但 可 以 重 命名 或 禁用 
该 用 户 。 

2) Guest 

Guest 由 域 中 没有 实际 帐户 的 人 使 用 。 帐 户 被 禁用 的 用 户 也 可 以 使 用 Guest 帐户 。 默 
认 时 ,该 用 户 为 禁用 状态 。 

3) HelpAssistant 

HelpAssistant 用 于 建立 “远程 协助 > 会话。 

2. 计算 机 帐户 

和 用 户 帐 户 类 似 , 计 算 机 帐户 提供 了 一 种 验证 和 审核 计算 机 访问 网 络 以 及 域 资源 的 方 
每 个 计算 机 帐户 必须 是 唯一 的 。 

3. 域 组 

组 可 用 于 将 用 户 帐户 、. 计 算 机 帐户 和 其 他 组 帐户 集中 到 可 管理 的 单元 中 ,使 用 组 而 不 是 
单独 的 用 户 ,可 以 大 大 简化 网 络 的 维护 和 管理 。 

Windows Server 2008 默认 组 位 于 Builtin 容器 和 Users 容器 中 。Builtin 容器 包含 用 本 
地 域 作 用 域 定 义 的 组 。Users 容器 包含 通过 全 局 作用 域 定义 的 组 合 通过 本 地 域 作 用 域 定 义 
的 组 。 这些 组 可 以 被 移动 到 所 在 域 中 其 他 的 组 或 组 织 单位 中 ,但 是 不 能 移动 到 其 他 域 。 

在 Active Directory 中 有 两 种 类 型 的 组 : 发 布 组 和 安全 组 。 可 以 使 用 发 布 组 创建 电子 
邮件 发 布 组 列表 ,使 用 安全 组 给 共享 资源 指派 权限 。 

只 有 在 电子 邮件 应 用 程序 中 ,才能 使 用 发 布 组 将 电子 邮件 发 送 给 一 组 用 户 。 发 布 组 不 
启用 安全 ,这 意味 着 它们 不 能 列 在 随机 访问 控制 列表 里 。 如 果 需 要 组 来 控制 对 共享 资源 的 
访问 , 则 创建 安全 组 。 

4. 组 作用 域 

组 都 有 一 个 作用 域 ,用 来 确定 在 域 树 或 林 中 该 组 的 应 用 范围 。 有 3 类 不 同 的 组 作用 域 : 
通用 、 全 局 和 本 地 域 。 

通用 组 的 成 员 可 包括 域 树 或 林 中 任何 域 中 的 其 他 组 合 帐户 ,而 且 可 在 该 域 树 或 林 中 的 
任何 域 中 指派 权限 。 

全 局 组 的 成 员 可 包括 在 其 中 定义 该 组 的 其 他 组 合 帐 户 ,而 且 可 在 林 中 的 任何 域 中 指派 
权限 。 

本 地 域 组 的 成 员 可 包括 Windows Server 2008、Windows Server 2003、Windows 2000 
或 Windows NT 域 中 的 其 他 组 和 其 他 帐户 ,而 且 只 能 在 域内 指派 权限 。 


法 
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3.4 组 策 略 


所 谓 组 策略 ,就 是 基于 组 的 策略 。 它 以 Windows 中 的 一 个 MMC 管理 单元 的 形式 存 
在 ,可 以 帮助 系统 管理 员 针 对 整个 计算 机 或 是 特定 用 户 来 设置 多 种 配置 ,包括 桌面 配置 和 安 
全 配置 。 如 ,可 以 为 特定 用 户 或 用 户 组 定制 可 用 的 程序 桌面 上 的 内 容 ,以 及 “开始 ”菜单 选 
项 等 ,也 可 以 在 整个 计算 机 范围 内 创建 特殊 的 桌面 配置 。 组 策略 是 Windows 中 的 一 套 系统 
更 改 和 配置 管理 工具 的 集合 。 

组 策略 将 系统 重要 的 配置 功能 汇集 成 各 种 配置 模块 ,供用 户 直接 使 用 ,达到 方便 管理 计算 
机 的 目的 。 组 策略 设置 就 是 在 修改 注册 表 中 的 配置 。 组 策略 使 用 了 更 完善 的 管理 组 织 方法 ， 
可 以 对 各 种 对 象 中 的 设置 进行 管理 和 配置 , 比 手工 修改 注册 表 方 便 、 灵 活 ,功能 也 更 加 强大 。 

组 策略 包含 着 计算 机 配置 与 用 户 配置 两 部 分 ,其 中 计算 机 配置 只 对 计算 机 环境 有 影响 ， 
而 用 户 配置 只 对 用 户 工作 环境 有 影响 。 

可 以 通过 以 下 两 个 途径 来 设置 组 策略 : 

1. 本 地 计算 机 策略 

本 地 计算 机 策略 可 用 来 设置 某 一 计算 机 的 策略 ,这 个 策略 内 的 计算 机 配置 只 会 被 应 用 
到 这 台 计 算 机 ,而 用 户 配 置 会 被 应 用 到 在 此 计算 机 登录 的 所 有 用 户 。 

2. 域内 的 组 策略 

在 域内 可 以 针对 站 点 、 域 或 组 织 单元 来 设置 组 策略 ,其 中 的 域 组 策略 内 的 设置 会 被 应 用 到 
域内 的 所 有 计算 机 与 用 户 ,而 组 织 单元 的 组 策略 会 被 应 用 到 该 组 织 单位 内 的 所 有 计算 机 用 户 。 

对 加 入 域 的 计算 机 来 说 ,如 果 其 本 地 计算 机 策略 的 设置 与 域 或 组 织 单元 的 组 策略 设置 
有 冲突 , 则 以 域 或 组 织 单元 组 策略 的 设置 优先 ,也 就 是 此 时 本 地 计算 机 策略 的 设置 无 效 。 


3.5 应 用 案例 1: 管理 本 地 用 户 帐户 


3.5.1 案例 内 容 


DHY 是 国内 知名 电子 产品 生产 企业 ,公司 主要 生产 移动 存储 、MP3、MP4、 显 卡 、 主 板 
等 电子 产品 。 公 司 正 处 于 快速 成 长 期 ,在 2 一 3 年 中 ,人 员 规 模 从 原先 仅 100 人 的 团队 ,迅速 
扩张 为 现在 的 800 人 规模 。 

在 公司 的 数据 中 心 , 有 多 台 Windows 2008 Server 服务 器 ,这 些 服务 器 要 有 专人 来 维 
护 , 作 为 数据 中 心 的 负责 人 ,你 应 该 做 如 下 设置 : 

(1) 在 所 分 配 的 Windows 2008 Server 服务 器 上 为 不 同 的 维护 人 员 分 别 创建 登录 帐户 ; 

(2) 每 台 Windows 2008 Server 服务 器 需 有 多 名 人 员 进 行 维护 ,因此 要 有 多 个 用 户 使 用 
1 台 计 算 机 ; 

(3) 为 了 便于 管理 员 管理 这 些 帐 户 , 需 要 按照 维护 人 员 的 责任 管理 这 些 新 的 登录 帐户 ; 

(4) 不 同 维护 人 员 对 计算 机 上 的 资源 使 用 的 权限 不 一 样 ; 

(5) 为 了 保证 计算 机 安全 ,必须 保证 计算 机 登录 帐户 的 密码 安全 ; 

(6) 维护 结束 后 ,禁用 这 些 新 建 登录 帐户 。 


3.5.2 案例 分 析 


本 案例 中 不 允许 维护 人 员 访 问 公 司 域 , 只 允许 他 们 使 用 本 地 计算 机 ,因此 ,这 里 要 为 这 
些 维护 人 员 创建 本 地 用 户 帐户 和 组 ,并 对 这 些 本 地 用 户 帐户 进行 管理 。 

(1) 为 维护 人 员 创 建 本 地 用 户 帐户 ; 

(2) 每 台 计 算 机 供 多 个 维护 人 员 使 用 ,根据 案例 要 求 , 要 创建 与 维护 人 员 职 责 对 应 的 本 
地 组 ,并 且 将 新 建 本 地 用 户 帐户 按照 员工 其 职责 ,移入 相应 的 本 地 组 ; 

(3) 设置 本 地 帐户 锁定 和 密码 策略 ; 

(4) 根据 实际 需要 设置 本 地 组 和 本 地 用 户 帐 户 的 权限 ， 

(5) 禁用 这 些 新 建 本 地 用 户 帐户 。 


3.5.3 案例 实施 过 程 


1. 创建 本 地 用 户 帐户 

本 地 帐户 和 组 的 管理 工具 位 于 “计算 机 管理 ”控制 台中 ,具体 操作 是 : 单 击 “开始 |“ 管 
理工 具 ”|“ 计 算 机 管理 ”选项 ,展开 目录 树 中 的 “本 地 用 户 和 组 ”就 可 以 进行 帐户 管理 了 。 

操作 : 在 目录 树 的 “用 户 ” 上 右 击 ,选择 “新 用 户 ” 命 令 , 如 图 3-1 至 图 3-4 所 示 。 


本 计 其 机 管理 二 地 ) 
日 侧 系统 工 | 


图 3-1 本 地 用 户 和 组 图 3- 


ET 


3-3 设置 用 户 密码 等 属性 
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图 3-4 创建 好 用 户 


参数 : 

(1) 用 户 名 : 长 度 不 能 超过 20 个 字符 ,同一 台 计 算 机 中 的 帐户 不 能 重 名 。 

(2) 密码 : 长 度 不 能 超过 128 个 字符 。 

(3) 密码 选项 。 

说 明 : 只 有 Administrators 组 和 Power Users 组 的 成 员 有 权 创 建 用 户 帐户 。 

2. 创建 本 地 组 

本 地 帐户 和 组 的 管理 工具 位 于 “计算 机 管理 ”控制 台中 : 单 击 “ 开 始 ”1“ 管 理工 具 ”|“ 计 
算 机 管理 ”选项 。 展 开 目 录 树 中 的 “本 地 用 户 和 组 ”就 可 以 进行 本 地 组 管理 。 

操作 : 在 目录 树 的 “组 ”上 布 击 , 选 择 “ 新 建 组 "命令 ,如 图 3-5 所 示 。 

3. 设置 帐户 所 在 的 组 

新 建 的 帐户 默认 属于 Users 组 。 更 改 帐户 所 在 的 组 主要 有 两 种 方法 : 

(1) 打开 帐户 的 属性 界面 ,在 “隶属 于 ?选项 卡 中 设置 该 用 户 所 在 的 组 。 

(2) 打开 组 的 属性 界面 ,在 成员? 选项 卡 中 设置 该 组 的 成 员 ,如 图 3-6 所 示 。 


图 3-5 新 建 组 图 3-6 添加 组 成 员 


这 里 要 注意 ,由 于 一 个 帐户 可 同时 属于 多 个 组 ,其 权利 是 各 组 权利 的 又 加 ,所 以 如 果 想 
限定 用 户 只 属于 某 个 组 ,应 该 把 它 从 其 余 组 中 删除 。 

Administrators 组 的 成 员 有 权 将 帐户 加 入 任意 组 中 ,PowerUsers 组 的 成 员 只 有 权 将 帐 
户 加 入 Power Users 组 `User 组 和 Guest 组 。 


4. 更 改 帐户 密码 
方法 一 : 用 帐户 本 地 登录 计算 机 , 按 下 Ctrl 十 Alt 十 Del 组 合 键 ,选择 “修改 密码 ”功能 。 
这 种 方法 需要 先 输入 正确 的 旧 密 码 ,再 输入 新 密码 。 
方法 二 : 用 一 个 管理 员 帐 户 登 录 计 算 机 ,打开 “计算 机 管理 ”控制 台 , 在 相应 帐户 上 右 
击 , 选 择 “ 设 置 密码 ”命令 ,如 图 3-7 所 示 。 
如 cuest 


图 3-7 更 改 密码 


这 种 方法 不 需要 输入 旧 密 码 , 可 直接 输入 新 密码 。 

说 明 : 方法 二 应 该 只 用 于 忘记 密码 的 情况 ,这 时 由 管理 员 为 你 设置 一 个 新 密码 。 这 种 
方法 会 导致 该 帐户 的 一 些 信息 丢失 ,比如 加 密 的 信息 会 打 不 开 等 。 

5. 禁用 帐户 

如 果 一 个 帐户 暂 不 使 用 ,可 以 禁用 它 ,将 来 需要 时 再 启用 。 

方法 : 用 管理 员 身 份 登录 计算 机 ,打开 “计算 机 管理 ”控制 台 , 打 开 相 应 帐户 的 属性 界 
面 ,选中 “帐户 已 禁用 ” 复 选 框 ,如 图 3-8 所 示 。 解 除 禁用 时 只 需 取消 选中 该 复 选 框 即 可 。 
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图 3-8 禁用 帐户 


6. 设置 本 地 帐户 锁定 和 密码 策略 
为 了 保护 计算 机 的 安全 ,可 以 通过 设置 一 些 安全 策略 强制 使 用 者 养 成 使 用 计算 机 的 良 
好 习惯 。 


网 络 系 统 营 理 


打开 “本 地 安全 策略 ”控制 台 : 单 击 “ 开 始 ”|“ 管 理工 具 ”|“ 安 全 设置 选项。 展开 目 录 树 
中 的 “帐户 策略 ”选项 。 设 置 某 项 策略 时 ,只 需 双 击 该 项 策略 就 可 以 进行 设置 ,如 图 3-9、 
图 3-10 所 示 。 


图 3-9 密码 策略 
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图 3-10 帐户 策略 


主要 设置 项 目 有 : 

(1) 密码 必须 符合 复杂 性 要 求 一 一 默认 为 禁用 。 如 果 启 用 了 , 则 用 户 在 设置 密码 时 必 
须 使 用 复杂 密码 , 即 必须 包含 字母 .数字 和 符号 。 

(2) 密码 长 度 最 小 值 一 一 默认 为 0. 此 时 可 以 设置 空 密码 。 设 置 后 就 可 以 要 求 用 户 必须 
使 用 足够 长 的 密码 。 

(3) 密码 最 长 使 用 期 限 一 一 默认 为 42 天 。 当 超过 此 期 限时 ,用 户 在 登录 时 会 被 要 求 更 
改 密码 。 

说 明 : 如 果 一 个 帐户 的 密码 选项 设置 为 “密码 永 不 过 期 ”, 则 该 帐户 的 密码 不 受 该 期 限 
限制 。 

(4) 密码 最 短 使 用 期 限 一 一 默认 为 0, 此 时 用 户 可 随时 更 改 密码 。 如 果 设 置 为 1 天 , 则 
用 户 更 改 密码 后 ,必须 在 1 天 之 后 才能 再 次 更 改 密码 。 

(5) 强制 密码 历史 一 一 默认 为 0, 此 时 用 户 设置 的 新 密码 可 以 和 旧 密 码 相同 。 假 如 设置 
为 3, 则 用 户 设置 的 新 密码 不 能 与 最 近 3 次 用 过 的 密码 相同 。 

(6) 帐户 锁定 阅 值 一 一 默认 为 0, 此 时 用 户 输入 错误 密码 不 会 导致 帐户 锁定 。 假 如 设置 
为 5, 则 当 一 个 用 户 登 录 时 ,如 果 输 入 了 5 次 错误 的 密码 , 则 该 帐户 将 被 自动 锁定 。 

(7) 帐户 锁定 时 间 一 一 假如 该 值 设 置 为 10 分 钟 , 则 当 一 个 帐户 被 锁定 后 ,过 10 分 钟 就 
自动 解除 锁定 。 如 果 该 值 设置 为 0, 则 该 帐户 不 会 自动 解锁 ,只 能 由 管理 员 手 工 解锁 。 

说 明 : 设置 锁定 功能 的 目的 是 防止 有 人 用 猜测 的 方式 破解 密码 。 如 果 一 个 帐户 被 锁 


定 , 则 在 解锁 之 前 ,该 帐户 不 能 登录 计算 机 。 

解除 锁定 的 方法 : 可 以 耐心 等 待 ,直到 系统 自动 解锁 。 也 可 以 由 管理 员 登 录 计 算 机 , 打 
开 该 帐户 的 属性 界面 ,取消 选中 “帐户 已 锁定 ” 复 选 框 。 

7. 本 地 用 户 权 限 分 配 

(1) 权利 设置 在 “本 地 安全 设置 "控制 台中 : 单 击 “开始 "| * 管 理工 具 ”|* 本 地 安全 设置 
选项 。 在 目录 树 中 选择 “本 地 策略 ”用 户 权限 分 配 ? 选 项 ,如 图 3-11 所 示 。 
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3-11 用 户 权限 分 配 


(2) 在 右 侧 的 窗口 中 列 出 的 是 各 种 权限 ,以 及 拥有 权限 的 用 户 和 组 。 设置 时 ,只 要 双击 
权利 名 称 ,就 可 以 修改 拥有 该 权限 的 用 户 和 组 了 ,如 图 3-12 所 示 。 
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图 3-12 添加 用 户 权 限 
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说 明 : 有 些 权限 同时 具有 “允许 ”和 “拒绝 ”两 种 ,如 有 “允许 本 地 登录 ”权限 ,也 有 “拒绝 
本 地 登录 ”权限 。 如 果 一 个 用 户 或 组 同时 设置 了 这 两 种 权限 , 则 “拒绝 ”权限 优先 。 


3.6 应 用 案例 2: 创建 域 并 管理 域 用 户 


3.6.1 案例 内 容 


DHY 是 国内 知名 电子 产品 生产 企业 ,公司 主要 生产 移动 存储 .MP3、MP4、 显 卡 、 主 板 
等 电子 产品 。 公 司 正 处 于 快速 成 长 期 ,在 2 一 3 年 中 ,人 员 规 模 从 原先 仅 100 人 的 团队 ,迅速 
扩张 为 现在 的 800 人 规模 。 

随 着 公司 规模 的 扩张 ,公司 加 快 了 信息 化 建设 及 管理 的 步伐 ,先后 购置 了 10 台 服 务 器 ， 
其 中 网 站 服务 器 1 台 , 邮 件 服务 器 3 台 , 内 部 OA 服务 器 1 台 ,FTP 服务 器 1 台 。 公 司 很 多 
业务 都 是 基于 B/S 系统 的 ,相应 的 处 理 服 务 器 有 4 台 。 同 时 为 了 公司 对 外 交流 的 应 用 , 公 
司 申请 了 dhynet. com 域名 ,为 了 更 好 地 进行 集中 化 的 管理 ,公司 决定 采用 基于 Windows 活 
动 目 录 的 管理 方式 。 同 时 公司 要 求 对 员工 使 用 公司 域 做 到 如 下 管理 : 

(1) 为 每 个 正式 加 入 公司 的 新 员工 创建 域 用 户 帐 户 ; 

(2) 根据 员工 所 在 部 门 ,统一 管理 新 员工 ， 

(3) 在 培训 结束 前 禁止 这 些 用 户 帐户 ; 

(4) 在 培训 结束 后 启用 这 些 用 户 帐户 ; 

(5) 正式 工作 时 ,禁止 员工 在 工作 时 间 外 登录 域 。 


3.6.2 案例 分 析 


本 案例 中 ,作为 管理 员 要 为 新 员工 创建 域 用 户 帐户 ,并 进行 管理 。 

(1) 为 公司 创建 域 , 创 建 网 络 当中 的 第 一 台 域 控制 器 ; 

(2) 为 新 员工 创建 域 用 户 帐户 , 因 新 建 域 用 户 很 多 ,可 以 使 用 复制 用 户 帐户 功能 ; 
(3) 为 部 门 创建 域 组 ,并 将 用 户 按 其 所 在 部 门 移 入 相应 组 ; 

(4) 暂时 禁用 这 些 域 用 户 帐户 ,在 新 员工 培训 结束 后 ,启用 这 些 域 用 户 帐户 ; 

(5) 设置 域 用 户 登 录 时 间 。 


3.6.3 案例 实施 过 程 


1. 创建 域 

(1) 首先 将 计算 机 的 IP 地 址 设置 为 10. 0. 0. 1 ,并 完成 相应 * 子 网 掩 码 ” 及 “首选 DNS 服 
务 器 ”的 设置 ,如 图 3-13 所 示 。 

(2) 单 击 “开始 ?按钮 ,选择 “管理 工具 ”服务 器 管理 器 ”命令 ,如 图 3-14 所 示 。 

(3) 在 “服务 器 管理 器 ?对 话 框 中 , 单 击 * 角 色 ? 选 项 ,如 图 3-15 所 示 。 

(4) 在 如 图 3-15 所 示 的 对 话 框 中 ,在 右 侧 的 “角色 摘要 ”处 单 击 “ 添 加 角色 ”选项 ,在 弹 
出 的 “添加 角色 向 导 ” 对 话 框 中 ,选中 “Active Directory 域 服务 ”选项 ,然后 单 击 “ 下 一 步 ” 按 
钮 ,如 图 3-16 所 示 。 

(5) 此 时 会 出 现 “Active Directory 域 服务 安装 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 ,如 


Internet 协议 版 本 4 (TCP/IPv4) 属性 


图 3-14 安装 DNS 服务 


图 3-17 所 示 。 

(6) 出 现 如 图 3-18 所 示 对 话 框 之 后 ,选择 “在 新 林 中 新 建 域 " 单 选 按钮 ,并 且 单 击 “ 下 一 
步 ”按钮 。 

(7) 之 后 ,在 出 现 的 “命名 林 根 域 ” 窗 格 中 输入 域名 dhynet. com, 并 且 单 击 “ 下 一 步 " 按 | 第 
钮 ,如 图 3-19 所 示 。 3 
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图 3-15 ”服务 器 管理 器 
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3-16 ”添加 Active Directory 域 服务 
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图 3-17 Active Directory 域 服务 向 导 
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(8) 在 “设置 林 功 能 级 别 " 窗 格 中 选择 Windows 2000 选项 ,并 单 击 * 下 一 步 ? 按 钮 ,如 
3-20 所 示 。 
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图 3-20 选择 林 功 能 级 别 


(9) 在 “设置 域 功能 级 别 " 窗 格 中 选择 “Windows 2000 纯 模式 ?选项 ,并 单 击 “ 下 一 步 按 
钮 ,如 图 3-21 所 示 。 


3-21 设置 域 功能 级 别 


这 里 向 导 会 在 这 台 服 务 器 上 安装 DNS 服务 器 ,同时 第 一 台 域 控制 器 也 必须 是 全 局 编 录 
服务 器 的 角色 ,第 一 台 域 控制 器 不 可 以 是 只 读 域 控制 器 ,如 图 3-22 所 示 。 
之 后 出 现 如 图 3-23 所 示 界 面 ,其 中 数据 库 文件 夹 : 用 来 存储 Active Directory 数据 库 。 


TEXT 


数据 库 、 日 志文 件 和 SYSY0L 的 位 置 
es Active Directory 域 控制 器 数据 库 、 日 志文 件 和 SYSVOL 的 
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图 3-23 数据库、 日 志文 件 和 SYSVOL 文件 夹 位 置 
日 志文 件 文件 夹 : 用 来 存储 Active Directory 的 变更 日 志 , 此 日 志文 件 可 用 来 修复 


Active Directory。 
SYSVOL 文件 夹 : 用 来 存储 域 共享 文件 。 选 择 * 下 一 步 ?按钮 。 出 现 如 图 3-24 所 示 对 

话 框 , 此 时 要 求 设置 目录 服务 还 原 模 式 的 管理 员 密 码 ,设置 完 密码 后 , 单 击 “ 下 一 步 ” 按 钮 。 
这 里 要 求 域 用 户 的 密码 默认 是 必须 至 少 7 个 字符 , 且 不 可 包含 用 户 帐户 名 称 中 超过 两 

个 以 上 的 连续 字符 ,还 有 至 少 要 包含 A 一 Za 一 z、.0 一 9 非 字 母 数字 这 4 组 字符 中 的 3 组 。 第 
设置 成 功 后 ,会 出 现 如 图 3-25 所 示 对 话 框 。 
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图 3-25 设置 完成 


完成 后 重启 计算 机 ,重新 登录 。 

2. 创建 域 用 户 帐 户 

在 服务 器 升级 为 域 控制 器 后 ,原本 位 于 本 地 安全 数据 库 内 的 本 地 帐户 ,会 被 移动 到 
Active Directory 数据 库 内 ,而 且 被 保存 到 Users 容器 中 。 

只 有 创建 域 中 第 一 台 域 控制 器 时 ,该 服务 器 原本 的 本 地 用 户 会 被 移动 到 Active 
Directory 数据 库 ,其 他 域 控制 器 中 原 有 的 本 地 用 户 帐 户 并 不 会 被 移动 到 Active Directory 
数据 库 ,而 是 被 删除 。 

下 面 是 在 Active Directory 中 创建 域 用 户 帐 户 : 

(1) 单 击 “ 开 始 ”>“ 管 理工 具 ”>“Active Directory 用 户 和 计算 机 ”命令 ,在 出 现 的 窗口 
中 右 击 域名 : dhynet. com ,选择 “新 建 ”有 用户” 命令 ,如 图 3-26 所 示 。 
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图 3-26 新建 域 用 户 
(2) 设置 用 户 名 等 用 户 信 息 , 如 图 3-27 所 示 。 
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图 3-27 设置 用 户 信息 


(3) 单 击 * 下 一 步 ? 按 钮 ,设置 密码 ,如 图 3-28 所 示 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,设置 用 户 属性 ,这 里 根据 实际 用 户 情况 输入 地 址 、 电 话 等 信息 ， 
如 图 3-29 所 示 。 

3. 创建 域 组 

(1) 单 击 “开始 ”按钮 ,选择 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”选项 , 右 击 
域名 ,选择 “新 建 ”>“ 组 ”命令 ,出 现 如 图 3-30 所 示 对 话 框 。 

(2) 右 击 组 帐户 ,选择 * 重 命名 ”命令 可 以 更 改组 名 ,选择 “删除 ?命令 可 以 将 组 删除 ,如 
图 3-31 所 示 。 
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图 3-29 设置 用 户 信 息 
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图 3-31 对 组 进行 操作 


4. 添加 组 成 员 

右 击 刚刚 新 建 的 “生产 部 ”组 ,选择 “属性 ”, 在 弹出 的 属性 对 话 框 中 选择 “成 员 ” 选 项 卡 ， 
然后 单 击 “ 添 加 ”和 “确定 ”按钮 。 

单 击 “ 添 加 ”按钮 ,在 弹出 来 的 对 话 框 中 选择 “高 级 ”按钮 ,通过 “立即 查找 ”功能 ,可 以 选 
择 想 要 添加 的 成 员 , 如 图 3-32 所 示 。 

5. 禁用 /启用 域 帐户 

用 域 管理 员 身 份 登录 计算 机 ,打开 “Active Directory 用 户 和 计算 机 ”控制 台 , 选 中 相应 
帐户 , 右 击 选择 “禁用 帐户 ”命令 即 可 ,如 图 3-33 所 示 。 


dhynet. con/Vsers 


图 3-32 ”添加 组 成 员 图 3-33 ”禁用 帐户 
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6. 设 定 用 户 登 录 时 间 
用 管理 员 身 份 登录 计算 机 ,打开 “Active Directory 用 户 和 计算 机 ”控制 台 , 打 开 相应 帐 
户 的 属性 界面 ,如 图 3-34 所 示 , 单 击 “ 登 录 时 间 ” 按 钮 ,如 图 3-35 所 示 。 
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3.7 应 用 案例 3: 设置 组 策略 


3.7.1 案例 内 容 


DHY 公司 已 经 实现 了 统一 的 域 管理 。 域 名 为 DHYnet. com, 第 一 台 域 控制 器 由 公司 
网 络 中 心 管理 员 专 门 管理 。 管 理 员 在 创建 DHYnet. com 域 的 开始 ,已 经 为 各 个 部 门 统一 建 
立 了 组 织 单位 (OU)。 

目前 ,DHY 公司 域 已 经 运行 了 一 段 时 间 。 公 司 网 络 中 心 为 了 方便 管理 ,也 为 了 减轻 管 
理 员 日 后 维护 域 的 工作 ,希望 有 方法 能 够 统一 地 管理 各 个 部 门 的 计算 机 。 要 求 如 下 : 

(1) 设置 统一 的 计算 机 工作 环境 ,如 统一 桌面 壁纸 ,实现 DHY 企业 工作 环境 统一 的 
形象 ; 

(2) 确保 用 户 在 网 络 中 任意 节点 登录 ,都 可 访问 各 自 的 数据 , 且 确 保 不 因为 客户 端 故 障 
导致 “我 的 文档 “桌面 "中 文件 丢失 。 


3.7.2 案例 分 析 


根据 案例 要 求 ,管理 员 可 以 通过 设置 Windows Server 2008 中 的 组 策略 解决 案例 中 的 
问题 。 


3.7.3 案例 实施 过 程 


由 于 会 立即 应 用 对 GPO 的 更 改 ,因此 ,在 测试 环境 中 全 面 测试 GPO 之 前 ,请 将 GPO 
与 其 生产 位 置 (站 点 , 域 或 OU) 取消 链接 。 在 开发 GPO 时 ,请 将 其 与 测试 OU 保持 链接 或 
取消 链接 。 

1. 创建 未 链接 的 GPO 

(1) 在 GPMC 控制 台 树 中 ,在 要 创建 新 的 未 链接 GPO 的 林 和 域 中 右 击 “组 策略 对 象 ” 
选项 ,如 图 3-36 所 示 。 


图 3-36 创建 GPO 
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(2) 单 击 “新 建 " 命 令 ,在 “新 建 GPO” 对 话 框 中 ,指定 新 GPO 的 名 称 , 如 “全 域 用 户 环境 
策略 ”, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 3-37 所 示 。 


图 3-37 输入 GPO 名 称 


2. 链接 GPO 

将 GPO 中 的 策略 设置 应 用 于 用 户 和 计算 机 的 主要 方法 是 : 将 GPO 链接 到 Active 
Directory 中 的 容器 。GPO 可 以 链接 到 Active Directory 中 的 三 种 类 型 的 容器 : 站 点 、 域 和 
OU。 每 个 GPO 可 以 链接 到 多 个 Active Directory 容器 。GPO 是 针对 各 个 域 分 别 存储 的 。 
例如 ,如 果 将 GPO 链接 到 某 个 OU ,那么 该 GPO 实际 并 未 位 于 该 OU 中 。GPO 是 针对 每 
个 域 的 对 象 ,可 以 将 其 链接 到 林 中 的 任意 位 置 。GPMC 中 的 UI 可 帮助 指明 链接 和 实际 
GPO 之 间 的 差异 。 

(1) 布 击 某 个 站 点 、 域 或 OU 项 目 , 然 后 单 击 “ 链 接 现 有 GPO” 命 令 , 如 图 3-38 所 示 。 此 
步骤 相当 于 在 安装 GPMC 之 前 在 “Active Directory 用 户 和 计算 机 ”管理 单元 中 提供 的 “组 
策略 ”选项 卡 中 选择 “添加 ”选项 。 

hs 一 
请 
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(2) 除了 上 述 方法 还 可 以 在 “组 策略 对 象 " 项 目下 面 ,将 一 个 GPO 拖 到 要 将 该 GPO 链 
接 到 的 OU 中 。 此 拖 放 功 能 仅 在 相同 的 域 中 有 效 。 

3. 统一 桌面 壁纸 

(1) 打开 编辑 “全域 用 户 环境 策略 ?选项 ,定位 到 “用户 配置 ?选项 ,选择 “管理 模板 ”一 在 
后 侧 选择 “桌面 选项 ,如 图 3-39 所 示 。 

(2) 设 定 统一 的 桌面 墙纸 文件 ,双击 图 3-40 中 右边 的 “桌面 墙纸 ?选项 ,如 图 3-41 所 示 
进行 配置 。 
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图 3-41 启用 “桌面 墙纸 ” 


(3) 设 定 用 户 不 能 自行 修改 桌面 ,双击 “桌面 墙纸 ”之 上 的 “不 允许 更 改 ” 配 置 项 进行 启 
用 配置 ,如 图 3-42 所 示 。 
4. 文件 夹 重 定向 
(1) 在 域内 文件 服务 器 上 新 建 一 个 共享 文件 夹 ,并 赋予 所 有 用 户 都 有 通过 网 络 对 此 文 
件 进 行 读 写 的 权限 。 这 里 假定 共享 文件 夹 的 访问 路 径 为 “\\Win-vmi86mg3i6q\ 文 件 夹 重 定 
向 ”, 如 图 3-43 所 示 。 
(2) 在 “全 域 用 户 环境 策略 ”选项 下 定位 到 “用 户 配置 ">“ 文 件 夹 重 定向 ”>“ 文 档 ” 选 - 
项 ,在 右键 快捷 菜单 中 选择 “属性 ”命令 ,进行 属性 配置 编辑 ,如 图 3-44 所 示 。 章 
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不 允许 更 改 属性 上 文件 夫 重 定向 属性 


图 3-42 启用 “不 允许 更 改 ” 图 3-43 设置 共享 文件 夹 


3-44 ”将 桌面 重 定向 


3.8 练习 案例 


你 是 公司 的 网 络 管理 员 ,公司 名 为 fabrikam。 

你 在 数据 中 心 有 多 台 服 务 器 ,需要 进行 管理 ,并 且 有 一 台新 的 Windows Server 2008 计 
算 机 需要 安装 活动 目录 并 进行 管理 。 你 将 该 计算 机 命名 为 serverl ,并 配置 成 具有 IP 地 址 
LO L030 Ls 


公司 要 求 注重 网 络 资源 的 安全 性 ,要 求 严格 管理 公司 网 络 资源 。 要 求 如 下 : 


(1) 建立 公司 域 ,由 专人 管理 ; 

(2) 严格 限制 公司 员工 使 用 公司 域 的 权限 ; 

(3) 为 树立 良好 的 企业 形象 ,统一 域内 计算 机 的 桌面 壁纸 ; 

(4) 域 用 户 在 域 中 任意 计算 机 上 登录 时 ,“ 我 的 文档 ”中 的 文档 不 会 丢失 。 


3.9 课 后 习题 


1. 什么 时 候 使 用 本 地 帐户 登录 ? 
2. 什么 时 候 使 用 域 用 户 登录 ? 
3.“ 文 件 夹 重 定向 ”可 以 将 哪些 文件 夹 重 定向 ? 


第 4 章 磁盘 管理 


4.1 导语 : 为 什么 要 管理 磁盘 


磁盘 是 所 有 计算 机 的 常规 设备 。Windows Server 2008 系统 中 ,所 有 数据 都 存储 在 磁 
盘 里 。 数 据 如何 输 入 、 输 出 到 磁盘 ,数据 存储 在 磁盘 的 哪个 位 置 这 样 的 复杂 原理 ,在 实际 中 
用 户 并 不 关心 。 

但 是 ,用 户 在 使 用 Windows Server 2008 的 时 候 , 需 要 能 够 方便 地 将 数据 存储 并 管理 包 
括 Active Directory 等 数据 的 工具 ,因此 ,需要 进行 磁盘 管理 。 


4.2 磁盘 管理 


“磁盘 管理 ”程序 是 用 于 管理 硬盘 、 卷 或 它们 所 包含 的 分 区 的 系统 实用 工具 。 利 用 “磁盘 
管理 ”程序 ,可 以 初始 化 磁盘 、 创 建 卷 .格式 化 卷 以 及 创建 容错 磁盘 系统 。 

“磁盘 管理 ”程序 可 以 在 不 需要 重新 启动 系统 或 中 断 用 户 服 务 的 情况 下 执行 多 数 与 磁盘 
相关 的 任务 ,大 多 数 配置 更 改 将 立即 生效 。 

有 效 的 “磁盘 管理 ,不 但 可 以 使 服务 器 发 挥 最 佳 性 能 ,满足 许多 先进 的 磁盘 数据 存储 应 
用 的 需要 ,而 且 可 以 确保 服务 器 的 安全 和 用 户 有 效 的 登录 。 

Windows Server 2008 的 磁盘 分 为 MBR 磁盘 与 GPT 磁盘 两 种 分 区 形式 ,MBR 磁盘 是 
标准 的 传统 形式 ,其 磁盘 存储 在 MBR(Master Boot Record, 主 引导 记录 ) 内 ,而 MBR 位 于 
磁盘 的 最 前 端 。 计 算 机 启动 时 ,主机 板 上 的 BIOS( 基 本 输入 输出 系统 ) 会 先 读 取 MBR ,并 将 
计算 机 的 控制 权 交 给 MBR 内 的 程序 ,然后 由 此 程序 来 继续 启动 工作 。GPT 磁盘 的 磁盘 分 
区 表示 存储 在 GPT(GUID Partition Table) 内 , 它 也 位 于 磁盘 的 最 前 端 ,而 且 它 有 主 分 区 表 
与 备份 磁盘 分 区 表 , 可 提供 故障 转移 功能 。GPT 磁盘 通过 EFI (Extensible Firmware 
Interface) 作 为 计算 及 硬件 与 操作 系统 之 间 沟 通 的 桥梁 ,EFI 所 扮演 的 角色 类 似 于 MBR 磁 
盘 的 BIOS。 

补充 一 点 : MBR 磁盘 分 区 最 多 可 分 四 个 主 分 区 ,或 三 个 主 分 区 与 一 个 扩展 分 区 ,GPT 
磁盘 分 区 最 多 可 创建 128 个 主 分 区 ,大 于 2TB 的 分 区 必须 使 用 GPT 磁盘 。( 注 : 可 以 利用 
图 形 接口 的 磁盘 管理 命令 或 Diskpart 命令 将 空 的 MBR 磁盘 转换 成 GPT 磁盘 ,或 将 空 的 
GPT 磁盘 转换 成 MBR 磁盘 。) 

(1) 基本 磁盘 是 传统 的 磁盘 系统 ,在 Windows Server 2008 内 新 安装 的 硬盘 默认 是 基本 
磁盘 。 

(2) 动态 磁盘 支持 多 种 特殊 的 卷 , 其 中 有 的 可 以 提高 系统 的 访问 效率 ,有 的 可 以 提供 故 


障 转移 功能 ,有 的 可 以 扩大 磁盘 的 使 用 空间 。 

Windows Server 2008 也 支持 动态 磁盘 。 动 态 磁盘 是 从 Windows 2000 时 代 开 始 的 新 
特性 , Windows Server 2008 继续 使 用 了 这 个 特性 。 相 比 基 本 磁盘 , 它 提供 更 加 灵活 的 管理 
和 使 用 特性 。 在 动态 磁盘 上 可 实现 数据 的 容错 、 高 速 的 读 写 、 相 对 随意 地 修改 卷 大 小 等 操 
作 , 而 不 能 在 基本 磁盘 上 实现 。 

一 块 基本 磁盘 只 能 包含 四 个 分 区 ,它们 是 最 多 三 个 主 分 区 和 一 个 扩展 分 区 ,扩展 分 区 可 
以 包含 数 个 逻辑 盘 。 而 动态 磁盘 没有 卷 数 量 的 限制 ,只 要 磁盘 空间 允许 ,可 以 在 动态 磁盘 中 
任意 建立 卷 。 在 基本 磁盘 中 ,分 区 是 不 可 跨越 磁盘 的 。 然 而 ,通过 使 用 动态 磁盘 ,可 以 将 数 
块 磁盘 中 的 空余 磁盘 空间 扩展 到 同一 个 卷 中 以 增 大 卷 的 容量 。 

基本 磁盘 的 读 写 速度 由 硬件 决定 ,不 可 能 在 不 付出 额外 成 本 的 情况 下 提升 磁盘 效率 。 
在 动态 磁盘 上 创建 带 区 卷 来 同时 对 多 块 磁盘 进行 读 写 ,能够 显著 提升 磁盘 效率 。 

基本 磁盘 不 可 容错 ,如 果 没 有 及 时 备份 而 遭遇 磁盘 失败 ,会 有 极 大 的 损失 。 可 以 在 动态 
磁盘 上 创建 镜像 卷 ,所 有 内 容 自 动 实 时 被 镜像 到 镜像 磁盘 中 ,这样 即使 遇 到 磁盘 失败 也 不 必 
担心 数据 损失 了 。 还 可 以 在 动态 磁盘 上 创建 带 有 奇偶 校 验 的 带 区 卷 , 从 而 保证 在 提高 性 能 
的 同时 为 磁盘 添加 容错 性 。 


4.3 应 用 案例 1: 管理 基本 磁盘 


4.3.1 案例 内 容 


DHY 公司 业务 蒸蒸日上 。 年 初 , 该 公司 因为 业务 扩张 ,购买 了 两 个 500GB 大 小 的 硬 
盘 ,用 来 扩展 域 控制 器 的 存储 容量 。 作 为 管理 员 ,你 应 该 做 如 下 工作 : 

(1) 将 其 中 一 个 硬盘 的 存储 空间 划分 为 4 个 125GB 大 小 的 区 域 ; 

(2) 将 另 一 台 服 务 器 的 存储 空间 划分 为 10 个 50GB 大 小 的 区 域 。 


4.3.2 案例 分 析 


可 以 使 用 “磁盘 管理 "工具 ,将 两 张 磁盘 初始 化 ,根据 要 求 划分 为 主 磁盘 分 区 以 及 扩展 磁 
盘 分 区 。 


4.3.3 案例 实施 过 程 


1. 初始 化 新 磁盘 
(1) 刚刚 安装 的 磁盘 ,是 脱 机 状态 ,选择 磁盘 ,在 “| 名 二 了 
右键 快捷 菜单 中 选择 “联机 ”命令 ,如 图 4-1 所 示 。 me 


(2) 提示 需要 先 初 始 化 磁盘 ,如 图 4-2 和 图 4-3 所 示 。 

刚刚 被 初始 化 的 磁盘 ,默认 状态 为 基本 磁盘 。 

2. 划分 磁盘 

基本 磁盘 是 包含 主 磁盘 分 区 、 扩 展 磁 盘 分 区 或 逻 
辑 驱 动 器 的 物理 磁盘 。 可 在 基本 磁盘 上 创建 的 分 区 
个 数 取决 于 磁盘 分 区 的 样式 。 


已 贡生 0 
基本 CC:) 
40.00 6B 40.00 GB NIFS 
联机 状态 良好 (条 统 ， 启 动 ， 
| 
和 为 所 先天 盘 使 用 以 下 开盘 分 区 形式 
他 WERI hi MN) 
个 GFT (GUID 分 区 表 ) (6) 


和 站 


加 硬盘 3 | 
图 4-2 初始 化 磁盘 图 4-3 选择 磁盘 


对 于 主 启动 记录 (MBR) 磁 盘 , 可 以 最 多 创建 4 个 主 磁盘 分 区 ,或 最 多 3 个 主 磁盘 分 区 
加 上 1 个 扩展 磁盘 分 区 。 在 扩展 磁盘 分 区 内 可 以 创建 多 个 逻辑 驱动 器 。 

对 于 GUID 分 区 表 (GPT) 磁 盘 , 最 多 可 创建 128 个 主 磁盘 分 区 。 由 于 GPT 磁盘 并 不 
限制 4 个 分 区 ,因而 不 必 创建 扩 展 磁盘 分 区 和 逻辑 驱动 器 。 

本 案例 中 磁盘 为 MBR 磁盘 。 

主 磁盘 分 区 是 在 基本 磁盘 上 创建 的 一 种 分 区 类 型 。 主 磁盘 分 区 是 物理 磁盘 的 一 部 分 ， 
它 像 物 理 上 独立 的 磁盘 那样 工作 。 对 于 基本 主 启动 记录 磁盘 ,在 一 个 基本 磁盘 上 最 多 可 以 
创建 4 个 主 磁盘 分 区 ,或 者 3 个 主 磁盘 分 区 和 1 个 有 多 个 逻辑 驱动 器 的 扩展 磁盘 分 区 。 对 
于 GUID 分 区 表 磁盘 ,最 多 可 以 创建 128 个 主 磁盘 分 区 。 

扩展 磁盘 分 区 是 一 种 分 区 类 型 ,只 可 以 在 基本 的 主 启动 记录 磁盘 上 创建 。 如 果 需 要 在 
基本 的 MBR 磁盘 上 创建 4 个 以 上 的 分 区 ,扩展 磁盘 分 区 是 很 有 用 的 。 在 创建 扩展 磁盘 分 
区 时 ,不 需要 格式 化 ,也 不 需要 给 它 指派 驱动 器 号 。 可 以 在 扩展 磁盘 分 区 中 创建 一 个 或 多 个 
逻辑 驱动 器 。 创 建 逻辑 驱动 器 的 时 候 ,应 将 其 格式 化 并 指派 驱动 器 号 。 

在 磁盘 上 右 击 ,选择 “新 建 简单 卷 " 命 令 , 如 图 4-4 所 示 。 

Windows Server 2008 与 旧版 的 Windows 基本 磁盘 中 创建 主 磁盘 分 区 和 扩展 磁盘 分 区 
不 同 , 在 Windows Server 2008 中 创建 主 磁 盘 分 区 .扩展 磁盘 分 区 和 逻辑 驱动 器 时 直接 选择 
“简单 卷 ?选项 即 可 ,不 需要 再 区 分 三 者 。 创 建 完 成 后 ,如 图 4-5 所 示 。 


CE:) 简单 ”基本 FS 状态 良好 (系统 ， 启 动 ， 页 面 文件 , 
KRTNSYOL_CN_DYD O:) 简单 基本 UDP 状态 良好 ( 主 分 区 ) 
状态 良好 (系统 ， 启 动 ， 页 面 文件 ， 活 动工 新 加 卷 中: 简单 ”基本 WFS 状态 良好 [ 主 分 区 ) 
一 新 加 卷 G:) 简单 ”基本 WFS 状态 良好 ( 主 分 区 ) 
新 加 卷 (6:) 简单 基本 FS 状态 良好 [ 主 分 区 ) 
新 加 卷 01:) 简单 ”基本 FS 状态 良好 (得 辑 驱动 器 ) 


3 磁盘 0 

基本 3 

40.00 40.00 GB WFS 

联机 状态 良好 “( 乐 统 ， 启 动 ， 页 面 文件 ， 活 动 ， 帮 障 转 储 ， 主 分 区 
ta 磁盘 1 

基本 

40.00 8 

联机 


图 4-4 新 建 简单 卷 图 4-5 主 磁盘 分 区 


4.4 应 用 案例 2: 管理 动态 磁盘 


4.4.1 案例 内 容 


DHY 公司 业务 蒸蒸日上 。 年 初 ,该 公司 因为 业务 扩张 ,之 前 购买 的 大 容量 磁盘 空间 早 
已 不 够 ,公司 服务 器 的 存储 空间 严重 不 足 。 为 了 方便 将 来 服务 器 磁盘 空间 的 扩展 ,同时 考虑 
到 公司 磁盘 的 安全 性 ,作为 管理 员 , 拟 采 取 如 下 计划 : 

(1) 再 添加 两 块 大 容量 磁盘 ; 

(2) 磁盘 空间 可 扩展 ; 

(3) 磁盘 在 遇 到 不 可 控 因素 破坏 的 情况 ,磁盘 存储 信息 可 恢复 。 


4.4.2 案例 分 析 


根据 案例 要 求 ,拟定 如 下 解决 方法 : 

(1) 将 原 有 磁盘 转换 成 动态 磁盘 ; 

(2) 扩展 原 有 卷 的 空间 ; 

(3) 创建 动态 卷 , 如 镜像 卷 .RIED 5 卷 。 


4.4.3 案例 实施 过 程 


1. 基本 磁盘 转换 成 动态 磁盘 

(1) 要 将 基本 磁盘 升级 到 动态 磁盘 , 右 击 “我 的 电脑 图标, 并 选择 “管理 ”命令 ,打开 计 
算 机 管理 控制 台 。 在 计算 机 管理 控制 台中 , 单 击 “ 磁 盘 管 理 ” 按 钮 , 右 击 想 升 级 到 动态 磁盘 的 
基本 磁盘 ,并 选择 “转换 到 动态 磁盘 "命令 ,如 图 4-6 所 示 。 

(2) 在 “转换 为 动态 磁盘 ”对 话 框 中 选择 想 升 级 到 动态 磁盘 的 磁盘 ,如 图 4-7 所 示 。 


aE 
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图 4-6 转换 磁盘 图 4-7 选择 磁盘 


注意 : 如 果 升 级 的 磁盘 中 包含 启动 、 系 统 分 区 或 使 用 中 的 页 面 文件 ,就 需要 重新 启动 计 
算 机 来 完成 升级 过 程 。 在 升级 之 前 ,建议 备份 要 升级 的 磁盘 中 的 所 有 文件 ,虽然 正常 的 升级 
过 程 不 会 损坏 任何 文件 ,但 是 当 转 换 过 程 中 出 现 问题 时 ,备份 就 很 有 用 了 。 一 旦 磁盘 被 升级 
成 动态 磁盘 后 ,如 果 需 要 回转 成 普通 磁盘 ,全 部 数据 将 会 丢失 。 

升级 完成 后 , 原 系统 、 启 动 分 区 和 主 分 区 将 成 为 “简单 卷 ?; 原 扩 展 分 区 中 的 逻辑 盘 将 成 


碰 下 管理 


圩 公测 


网 络 系 统 营 理 


为 “简单 卷 ”, 而 剩余 空间 将 成 为 “未 分 配 的 空间 ”。 
2. 扩展 卷 
(1) 选择 需要 扩展 的 简单 卷 或 跨 区 卷 ( 注 : 其 他 动态 卷 不 可 扩展 ) ,如 图 4-8 所 示 。 


欢迎 使 用 扩展 卷 向 导 


Sa 


要 继续 ,请 单 击 “ 下 一 步 ” 按 钮 。 


.| 
4-8 扩展 卷 向 导 
(2) 在 未 分 配 的 区 间 上 选择 卷 容量 ,如 图 4-9 所 示 。 
eS °° 寺 


选择 磁盘 
您 可 以 用 至 少 一 个 磁盘 上 的 空间 来 扩展 准 。 


本 用): E 
| | 将 2 20477 中 
‘We | 盘 3 20477 IIB 
< 全 BW 和 00) | 
誉 大 小 总 数 0B): Feo 
最 大 可 用 空间 量 WB): Ei 
选择 空间 量 06) 吧 ): Bssss ” 当 
《上 一 步 @)| 下 一 步 中 > 取消 | 
图 4-9 添加 磁盘 
根据 选择 的 扩展 卷 , 原 有 的 简单 卷 的 容量 会 变 大 ,同时 也 有 可 能 变 成 跨 区 卷 。 


3. 新 建 跨 区 卷 

一 个 跨 区 卷 是 一 个 包含 多 块 磁盘 上 的 空间 的 卷 (最 多 32 块 ) ,向 跨 区 卷 中 存储 数据 信息 
的 顺序 是 存 满 第 一 块 磁盘 再 逐渐 向 后 面 的 磁盘 中 存储 。 通 过 创建 跨 区 卷 , 可 以 将 多 块 物理 
磁盘 中 的 空余 空间 分 配 成 同一 个 卷 ,从 而 提高 了 资源 利用 率 。 但是, 跨 区 卷 并 不 能 提高 性 能 
或 容错 。 

(1) 打开 计算 机 管理 控制 台 , 单 击 “磁盘 管理 ”按钮 ,在 “磁盘 管理 ?界面 中 , 右 击 未 分 配 


的 空间 ,并 选择 “新 建 跨 区 卷 " 命 令 。 


(2) 出 现 “ 新 建 跨 区 卷 ” 向 导 , 如 图 4-10 所 示 , 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 4-11 所 示 的 对 
话 框 中 选择 想 使 用 的 磁盘 和 输入 想 在 每 块 磁盘 中 分 配给 该 卷 的 空间 ,并 单 击 * 下 一 步 ? 按 钮 。 


然后 根据 屏幕 提示 完成 向 导 。 


欢迎 使 用 新 建 跨 区 卷 向 导 
此 向 导 将 帮助 您 在 碰 盘 上 创建 特区 卷 。 


pi 


上 的 合用 空 


要 继续 , 单 击 “ 下 一 步 ”按钮 。 


sn FB] my | 


图 4-10 新 建 跨 区 卷 向 导 


[于 建党 区 会 | 


选择 磁盘 
您 可 以 选择 磁盘 并 为 此 卷 设置 碰 盘 大 小 。 


选择 要 使 用 的 磁盘 ， 然 后 单 击 “ 添 加 ”。 


可 用 0D): 
| 沙 刚 风 克 
< 肌 除 号) 
< 全 部 出 除 
卷 大 小 总 数 NB) 
最 大 可 用 空间 量 0B) 
选择 空间 量 WB) 到 ): 


sm [EE] | 


图 4-11 添加 磁盘 


4. 新 建 带 区 卷 


带 区 卷 是 由 两 个 或 多 个 磁盘 中 的 空余 空间 组 成 的 卷 (最 多 32 块 磁盘 ) ,在 向 带 
入 数据 时 ,数据 被 分 割 成 64KB 的 数据 块 , 然 后 同时 向 阵列 中 的 每 一 块 磁盘 写 人 不 


块 。 这 个 过 程 显著 提高 了 磁盘 效率 和 性 能 ,但 是 带 区 卷 不 提供 容错 性 。 


区 卷 中 写 


同 的 数据 


(1) 打开 计算 机 管理 控制 台 , 单 击 “磁盘 管理 按钮 ,在 “磁盘 管理 ?界面 中 , 右 击 未 分 配 
的 空间 ,并 选择 “新 建 带 区 卷 命 令 ,出现 * 新 建 带 区 卷 ?向 导 , 单 击 * 下 一 步 ? 按 钮 ,如 图 4-12 


所 示 。 


网 络 系 统 营 理 
| 


(2) 在 如 图 4-13 所 示 


欢迎 使 用 新 建 带 区 卷 向 导 


此 向 号 将 帮助 您 在 度 盘 上 创 哇 带 区 卷 。 


SA 


要 继续 单 击 “ 下 一 步 ”按钮 * 


一 | 
4-12 新 建 带 区 卷 向 导 
的 对 话 框 中 选择 想 使 用 的 磁盘 ,输入 在 每 块 磁盘 中 分 配给 该 卷 的 


空间 ,并 单 击 * 下 一 步 ?按钮 ,然后 根据 屏幕 指示 完成 操作 。 
EEE 过 


选择 磁盘 
您 可 以 选择 碰 盘 并 为 此 耸 设 置 磁盘 大 小 。 


让 
选择 要 使 用 的 磁盘 ， 然 后 单 击 “ 添 加 ”。 
可 用 0): 
J BE 
《 肌 绪 下) 
《 全 部 出 际 人 0) 
卷 大 小 总 数 ID) 
最 大 可 用 空间 量 0B) : 
选择 空间 量 IB) 人 E): 1o00 EE| 


《上 一 步 吧 ) 取消 


5. 新 建 镜像 卷 
镜像 卷 为 一 个 带 有 一 


4-13 添加 磁盘 


份 完 全 相同 的 副本 的 简单 卷 , 它 需 要 两 块 磁盘 : 一 块 存储 运作 中 


的 数据 ,一块 存 储 完全 一 样 的 那 份 副本 , 当 一 块 磁盘 失败 时 , 另 一 块 磁盘 可 以 立即 使 用 ,避免 


了 数据 丢失 。 镜 像 卷 提供 
创建 镜像 卷 的 方法 如 


了 容错 性 ,但 是 它 不 提供 性 能 的 优化 。 
Fs 


(1) 首先 确保 计算 机 包含 两 块 磁盘 ,一 块 作为 男 一 块 的 备份 。 打 开 计 算 机 管理 控制 台 ， 


选择 “磁盘 管理 ?选项 , 右 训 
导 , 如 图 4-14 所 示 。 


未 分 配 的 空间 ,并 选择 “新 建 镜像 卷 " 命 令 , 出 现 “ 新 建 镜像 卷 ” 向 


(2) 单 击 “ 下 一 步 " 按 钮 ,选择 要 使 用 的 两 块 磁盘 ,输入 分 配给 该 卷 的 空间 数据 ,如 图 4-15 
所 示 ,并 单 击 “下 一 步 ?按钮 ,然后 根据 屏幕 提示 完成 操作 。 


欢迎 使 用 新 建 镜像 卷 向 导 


此 癌 导 将 帮助 您 在 磁盘 上 创建 镜像 卷 * 
和 


要 继续 , 单 击 “ 下 一 步 ”。 


sR] | 


4-14 新 建 镜像 卷 向 导 


EFIT "x 


选择 磁盘 
您 可 以 选择 碰 盘 并 为 此 卷 设置 磋 盘 大 小 


选择 要 使 用 的 磁盘 ， 然 后 单 击 “ 添 加 ”。 


疮 大 小 总 数 18); 
最 大 可 用 空间 里 8): 
选择 空间 量 WB) E): io 要 


《上 -- 步 o)[ 下 - 步 om 让 取消 


图 4-15 添加 磁盘 


6. 新 建 RAID-5 卷 

所 谓 RAID-5 卷 就 是 含有 奇偶 校 验 值 的 带 区 卷 ,Windows Server 2008 为 卷 集中 的 每 一 
个 磁盘 添加 一 个 奇偶 校 验 值 ,这 样 在 确保 了 带 区 卷 优越 性 能 的 同时 ,还 提供 了 容错 性 。 

RAID-5 卷 至 少 包含 3 块 磁盘 ,最 多 32 块 ,阵列 中 任意 一 块 磁盘 失败 时 ,都 可 以 由 另 两 
块 磁盘 中 的 信息 做 运算 ,并 将 失败 的 磁盘 中 的 数据 恢复 。 

创建 RAID-5 卷 的 方法 如 下 : 

(1) 确保 计算 机 包含 3 块 或 以 上 磁盘 。 打 开 计算 机 管理 控制 台 。 在 计算 机 管理 的 “ 磁 
盘 管理 ”选项 中 , 右 击 未 分 配 的 空间 ,选择 “新 建 RAID-5 卷 ” 命 令 ,出现 “ 新 建 RAID-5 卷 ” 向 
导 , 如 图 4-16 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 4-17 所 示 的 对 话 框 中 选择 想 使 用 的 三 块 磁盘 并 输入 分 
配给 该 卷 的 空间 大 小 , 单 击 “ 下 一 步 ” 按 钮 并 根据 屏幕 提示 完成 操作 。 


网 络 系 统 营 理 
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欢迎 使 用 新 建 RAID-5 卷 向 导 


此 向 导 将 帮助 您 在 说 盘 上 创建 RAID-5 卷 。 


ED 


要 继续 , 单 击 “下 一 步 ” 按 钮 。 


wg | 
图 4-16 新 建 RAID-5 卷 向 导 


°° 


选择 磁盘 
您 可 以 选择 磁盘 并 为 此 卷 设置 磁盘 大 小 。 


选择 要 使 用 的 磁盘 ， 然 后 单 击 “ 添 加 ”。 


已 过 的 G): 
一 -一 Ee 2 18877 最 
| 详 盘 3 18877 上 加 
a OB): 
最 大 可 用 空间 量 WB): 辣 
选择 空间 量 WiB) G) as77 。 当 


《< 上- 步 o)[ 下 - 步 m >] WE | 


图 4-17 添加 磁盘 


4.5 练习 案例 


你 是 公司 的 网 络 管理 员 。 公 司 名 为 fabrikam, Inc. ,公司 网 络 由 名 为 fabrikam. com 的 
单一 active directory 域 组 成 。 

你 在 数据 中 心 一 台新 的 Windows Server 2008 计算 机 上 安装 了 磁盘 阵列 。 你 将 该 计算 
机 命名 为 serverl 。 

随 着 公司 业务 的 发 展 ,公司 各 类 服务 器 上 信息 量 越 来 越 大 , 原 有 的 分 区 ( 卷 ) 容 量 已 经 不 
能 满足 需要 。 公 司 的 各 部 门 信息 的 依赖 程度 也 越 来 越 高 ,任何 部 门 服务 器 资源 都 是 自身 及 
其 他 部 门 正 常 工作 不 可 或 缺 的 。 

为 了 能 够 保证 磁盘 资源 的 可 用 性 、 可 靠 性 \、 可 恢复 性 ,确保 能 满足 下 列 要 求 : 


(1) 各 部 门 服务 器 的 磁盘 或 分 区 可 扩容 。 
(2) 公司 关键 部 门 的 磁盘 资源 必须 有 一 个 安全 副本 。 
(3) 某 些 部 门 磁盘 资源 不 仅 要 保证 可 恢复 性 ,同时 也 要 保证 磁盘 的 优化 。 


4.6 课 后 习题 


1. Windows Server 2008 磁盘 分 为 哪 两 种 分 区 形式 ? 

2. Windows Server 2008 磁盘 分 为 哪 两 种 类 型 ? 

3. 什么 是 主 磁盘 分 区 ? 

4. 基本 磁盘 转换 为 动态 磁盘 后 ,基本 磁盘 中 原 有 的 主 磁盘 分 区 以 及 扩展 磁盘 分 区 和 他 
辑 驱动 器 会 怎样 转变 ? 

5. Windows Server 2008 动态 磁盘 支持 几 种 动态 卷 ? 分 别 是 什么 ? 

6. 有 镜像 卷 ,其 有 效 容量 为 20GB, 它 实际 占用 多 少 容量 ? 


击溃 


第 5 章 文件 管理 


5.1 导语 : 为 什么 要 进行 文件 管理 


任何 一 个 公司 和 单位 都 有 大 量 的 文件 。 这 些 文件 怎么 存储 ? 怎么 访问 ? 如 何 快速 检索 
和 获取 ? 文件 的 安全 如 何 保证 ? 允许 什么 人 访问 这 些 文件 ? 不 能 让 什么 人 访问 ? 这 些 都 是 
文件 管理 要 做 的 事情 。 

文件 管理 是 操作 系统 的 五 大 职能 之 一 ,主要 涉及 文件 的 逻辑 组 织 和 物理 组 织 以 及 目录 
的 结构 和 管理 。 所 谓 文 件 管理 ,就 是 操作 系统 中 实现 文件 统一 管理 的 一 组 软件 ,被 管理 的 文 
件 以 及 为 实施 文件 管理 所 需要 的 一 些 数据 结构 的 总 称 。 从 系统 角度 来 看 ,文件 系统 是 对 文 
件 存储 器 的 存储 空间 进行 组 织 分配 和 回收 ,负责 文件 的 存储 、 检 索 .共享 和 保护 。 从 用 户 角 
度 来 看 ,文件 系统 主要 是 实现 * 按 名 取 存 ,文件 系统 的 用 户 只 要 知道 所 需 文件 的 文件 名 ,就 
可 存 取 文 件 中 的 信息 ,而 无 须知 道 这 些 文件 究竟 存放 在 什么 地 方 。 

常用 的 文件 管理 方法 有 文件 共享 ,文件 服务 器 .FTP 服务 器 。 


5.2 文件 共享 


5.2.1 为 什么 使 用 文件 共享 功能 


在 网 络 中 ,特别 是 局 域 网 中 ,经 常 涉及 用 户 之 间 的 文件 传输 ,如 何 简单 高 效 地 进行 文件 
传输 ,是 提高 工作 效率 的 关键 之 一 。 

使 用 文件 共享 功能 ,可 以 让 用 户 简单 快捷 地 将 需要 共享 给 其 他 人 的 文档 放 在 网 络 中 ,让 
大 家 进行 访问 ,高 效 便捷 地 传输 文件 ,并 且 可 以 结合 NTFS 权限 功能 ,继续 进行 更 加 细致 的 
访问 权限 设置 ,在 提高 工作 效率 的 同时 ,还 能 增强 安全 性 。 


5.2.2 共享 权限 和 NTKFS 权限 相关 知识 


1. 共享 权限 和 NTFS 权限 的 对 比 

(1) 共享 权限 分 类 : 读者 、 参 与 者 .所 有 者 ; NTFS 权限 分 类 : 读 、 写 .执行 修改、 完全 
控制 等 ,其 权限 的 设置 更 加 详细 。 

(2) 共享 权限 的 设置 对 象 是 文件 夹 , 只 对 文件 夹 起 作用 ,无 法 对 文件 设置 共享 权限 ; 
NTFS 不 仅 能 对 文件 夹 进行 设置 ,还 可 以 对 文件 进行 设置 。 

(3) 共享 权限 只 对 网 络 访问 行为 有 效 , 从 本 地 访问 设置 了 拒绝 访问 权限 的 共享 文件 夹 
时 ,将 不 起 任何 作用 ; NTFS 权限 不 管 是 从 网 络 访问 ,还 是 从 本 地 访问 ,都 有 作用 。 


2. 共享 权限 和 NTFS 权限 的 特点 

(1) 两 种 权限 均 具 有 累加 性 。 

(2) 两 种 权限 均 遵 循 “拒绝 ”权限 优先 的 原则 , 即 如 果 既 设置 了 共享 中 的 访问 权限 ,又 设 
置 了 NTFS 的 拒绝 访问 权限 , 则 最 终 有 效 权限 为 “拒绝 ”。 

(3) 从 网 络 中 访问 共享 文件 时 ,用 户 的 最 终 有 效 权 限 是 两 者 的 “交集 ”, 同 时 遵循 “拒绝 
优先 ”的 原则 。 


5.3 应 用 案例 1: 设置 共享 文件 夹 


5.3.1 案例 内 容 


某 学 院 为 了 方便 老师 上 机 课 教学 ,计划 在 机 房 的 Windows Server 2008 服务 器 上 设置 
共享 文件 夹 ,来 满足 如 下 要 求 ， 

(1)“ 作 业 布 置 " 文 件 夹 存放 老师 留 的 作业 ,学 生 组 (students) 能 通过 网 络 访问 到 该 文件 
夹 , 并 下 载 里 面 的 内 容 , 但 不 能 上 传 。 教 师 组 (teachers) 既 可 以 通过 网 络 读 取 该 文件 夹 ,也 可 
以 向 该 文件 夹 中 写 入 文件 。 

(2)“ 作 业 提 交 ” 文 件 夹 , 要 求 students 能 通过 网 络 向 该 文件 夹 中 写 入 文件 ,提交 作业 ， 
但 只 能 对 自己 提交 的 文件 有 完全 控制 权 , 不 能 读 取 别人 上 传 的 文件 ,以 防止 抄袭 出 现 。 而 
teachers 可 以 下 载 ( 即 读 取 ) 该 文件 夹 下 的 全 部 内 容 。 


5.3.2 案例 分 析 


在 本 案例 中 ,涉及 了 对 某 组 用 户 进行 统一 访问 权限 设置 ,这 可 以 通过 简单 共享 方式 来 实 
现 ,而 在 需求 (2) 中 ,又 涉及 了 对 students 组 中 单独 用 户 的 权限 设置 , 则 需要 再 通过 设置 
NTFS 权限 来 实现 。 


5.3.3 案例 实施 过 程 


(1) 以 管理 员 身 份 登录 服务 器 (只 有 管理 员 组 和 power users 组 用 户 可 以 创建 共享 ), 创 
建 一 个 文件 夹 “ 作 业 布 置 ”, 右 击 该 文件 夹 , 在 弹出 的 快捷 菜单 中 单 击 “ 共 享 ” 命 令 。 

(2) 在 出 现 的 “文件 共享 ”对话 框 中 ,输入 students, 然 后 单 击 “ 添 加 ”按钮 ,再 单 击 其 “ 权 
限 级 别 ” 选 项 ,在 出 现 的 下 拉 列 表 中 ,设置 其 权限 级 别 为 “读者 "(只 有 访问 权限 ); 输入 
teachers, 然 后 单 击 “ 添 加 ”按钮 ,将 这 两 组 用 户 添 加 进 共享 权限 设置 中 ,设置 其 权限 级 别 为 
“参与 者 "(具有 访问 权限 和 写 入 权限 )。 最 后 单 击 “ 共 享 ” 按 钮 ,进行 共享 ,如 图 5-1 所 示 。 若 
出 现 如 图 5-2 所 示 情 况 , 则 单 击 是 ,启用 所 有 公用 网 络 的 网 络 发 现 和 文件 共享 "选项 。 

在 之 前 创建 的 文件 夹 上 右 击 ,在 出 现 的 快捷 菜单 中 单 击 “ 属 性 ”命令 ,然后 在 出 现 的 对 话 
框 中 的 “安全 ”选项 卡 中 ,可 以 看 到 students 组 和 teachers 组 已 经 同时 被 系统 自动 设置 了 与 
共享 相同 的 NTFS 权限 ,如 图 5-3 和 图 5-4 所 示 。 

注 : 至 此 ,我 们 已 经 完成 了 案例 中 需求 (1) 的 要 求 。 

以 管理 员 身 份 新 建文 件 夹 “ 作 业 提交 ”, 右 击 该 文件 夹 ,在 出 现 的 快捷 菜单 中 选择 “属性 ” 


命令 。 
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图 5-1 设置 共享 


发 现 和 文件 共享 


图 5-2 启动 文件 共享 


中 :tudents (SRY-I\students) t t 
tea RY-1\t rs 中 teachars (SRY-1\teachars) 


图 5-3 teachers 的 NTFS 权限 5-4 students 的 NTFS 权限 


在 出 现 的 对 话 框 的 “共享 "选项 卡 中 , 单 击 “ 高 级 共享 "按钮 ,如 图 5-5 所 示 。 选 中 “高 级 
共享 ”对 话 框 中 的 “共享 此 文件 夹 ” 选 项 , 填 入 共享 名 称 和 并 发 连接 数 , 如 图 5-6 所 示 。 


内 作业 提交 属性 


图 5-5 单 击 “高 级 共享 "按钮 图 5-6 设置 共享 名 称 


然后 单 击 “ 权 限 ” 按 钮 ,在 弹出 的 对 话 框 中 删除 everyone 用 户 ,添加 students 用 户 组 , 选 
中 * 读 取 ” 和 “更 改 ”" 复 选 框 ,如 图 5-7 所 示 。 单 击 “ 确 定 ” 按 钮 ,关闭 对 话 框 。 

青 次 右 击 该 文件 夹 ,选择 “属性 ”命令 ,在 出 现 的 对 话 框 中 单 击 “ 安 全 ”标签 ,可 以 看 到 
NTFS 权限 没有 被 设置 (简单 共享 时 会 同时 设置 NTFS 权限 ), 如 图 5-8 所 示 。 单 击 “ 编 辑 ” 
按钮 ,对 creator owner 用 户 进 行 权限 设置 ,如 图 5-9 所 示 。 


具 作业 提交 的 权限 


图 5-7 设置 students 的 共享 权限 
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trators (SRY-1\Administrators) 
四 Users (SRY-1\Wsers) 


5-9 文件 夹 “安全 ”编辑 界面 


重复 图 5-6 和 图 5-7 的 操作 ,添加 teachers 组 共享 权限 ,设置 权限 为 “ 读 取 ” 即 可 。 

注 : 至 此 ,我 们 完成 了 本 案例 需求 的 全 部 内 容 , 请 在 “开始 ”>“ 运 行 " 对 话 框 中 ,自行 使 
用 “\\IP 地 址 ”的 方式 进行 网 络 访问 测试 ,使 用 不 同 的 用 户 身份 测试 权限 设置 是 否 达到 
需求 。 


5.4 文件 服务 器 


5.4.1 为 什么 使 用 文件 服务 器 


文件 服务 器 一 般 被 设置 在 局 域 网 中 具有 大 容量 硬盘 空间 的 服务 器 上 ,利用 共享 文件 夹 
为 网 络 中 的 用 户 提供 存储 访问 服务 。 与 前 面 所 讲 的 共享 文件 夹 功能 相 比 较 ,其 功能 更 为 强 
大 ,除了 可 以 设置 访问 权限 ,还 可 以 限制 磁盘 空间 使 用 大 小 、 限 制 上 传 文件 类 型 等 ,大 大 增强 
了 文件 共享 访问 的 效率 和 安全 性 。 


5.4.2 文件 服务 器 与 文件 共享 功能 对 比 


1. 限制 文件 夹 的 大 小 

与 文件 共享 不 能 控制 用 户 使 用 存储 空间 不 同 , 文 件 服务 器 通过 配额 设置 ,可 以 限制 用 户 
使 用 的 共享 存储 空间 大 小 , 当 用 户 使 用 的 存储 空间 接近 或 达到 配额 空间 时 发 出 通知 ,如 果 超 
过 配额 , 则 可 根据 设置 情况 ,进行 限制 存储 等 操作 。 

2. 限制 存储 的 文件 类 型 

文件 共享 功能 一 旦 开启 写 入 权限 , 则 允许 用 户 上 传 任何 类 型 的 文件 ,这 将 造成 极 大 的 安 
全 隐患 。 文 件 服务 器 则 可 以 通过 设置 限制 规则 ,通过 文件 扩展 名 的 限制 来 指定 文件 夹 中 所 
能 保存 的 文件 类 型 ,在 一 定 程度 上 提高 系统 安全 性 。 


5.5 应 用 案例 2: 安装 并 使 用 文件 服务 器 


5.5.1 案例 内 容 


某 学 院 为 了 教学 需要 ,计划 安装 一 台 文 件 服务 器 ,为 了 防止 空间 浪费 ,决定 使 用 空间 限 
制 , 用 户 空间 限制 为 200MB。 出 于 安全 考虑 ,共享 文件 夹 内 不 允许 存放 可 执行 文件 (. exe) 。 


5.5.2 案例 分 析 


本 案例 中 ,文件 服务 器 还 没有 搭建 ,任何 设置 都 没 进行 ,因此 需要 如 下 步骤 ， 

(1) 安装 文件 服务 器 。 

(2) 创建 共享 文件 夹 。 

(3) 在 文件 服务 器 中 ,对 共享 文件 夹 进行 相关 设置 ,满足 案例 需求 ,如 存储 空间 限制 ( 即 
配额 限制 ) ,存放 文件 限制 ( 即 文件 屏蔽 ) 等 。 


5.5.3 案例 实施 过 程 


1. 安装 文件 服务 器 

(1) 以 管理 员 身 份 登录 服务 器 ,打开 “服务 器 管理 器 "窗口 ,选择 “角色 ”一 “文件 服务 ” 选 
项 ,在 右 侧 内 容 框 中 向 下 拖 动 ,将 会 看 到 “角色 服务 ”选项 ,显示 文件 服务 器 已 经 安装 (只 要 创 
建 过 共享 ,此 选项 就 会 出 现 ) , 单 击 其 旁边 的 “添加 角色 服务 ”选项 ,进行 文件 管理 器 的 安装 ， 
如 图 5-10 所 示 。 


攻 服务 器 管理 于 


服务 器 管理 器 (SRY-1) 


站 提请 生 二、 外 条、 


方 17CRSJY 


四 角色 服务 : 已 安装 1 高 添加 角色 服务 


蝇 几 疼 角色 服务 


文 伯 服 务 避 管理 共享 文件 卖 并 使 用 户 能 够 从 网 
络 访 问 此 计算 机 上 的 文件 * 


5-10 单 击 添加 角色 服务 
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(2) 在 出 现 的 “添加 角色 服务 "对话 框 中 ,选中 “文件 服务 器 资源 管理 器 ” 复 选 框 , 单 击 
“下 一 步 ”按钮 ,如 图 5-11 所 示 。 


图 5-11 选中 “文件 服务 器 资源 管理 器 " 复 选 框 


(3) 在 出 现 的 “配置 存储 使 用 情况 监视 ”窗口 中 ,选择 一 个 磁盘 进行 监视 ,注意 : 只 能 是 
NTFS 格式 的 ,如 图 5-12 所 示 。 


水 加 角色 服务 


5-12 选择 磁盘 


(4) 单 击 “ 选 项 ”按钮 ,可 以 设置 该 磁盘 的 使 用 记录 报告 ,如 图 5-13 所 示 。 确 定 后 , 单 击 
“下 一 步 ” 按 钮 ,设置 报告 存储 位 置 及 报告 发 送 到 哪个 邮箱 (如 需要 ), 如 图 5-14 所 示 。 然 后 
单 击 “ 下 一 步 ” 按 钮 ,完成 文件 服务 器 的 安装 。 


图 5-14 设置 报告 发 送 邮箱 


2. 配置 “配额 ”功能 限制 存储 空间 

(1) 选择 “开始 "一 “程序 ”~ 管理 工具 ”一 “文件 服务 器 资源 管理 器 ”命令 ,打开 管理 器 
窗口 。 在 “文件 服务 器 资源 管理 器 "窗口 中 , 单 击 “ 创 建 配额 * 选 项 ,如 图 5-15 所 示 。 

(2) 在 “创建 配额 "对 话 框 中 ,选择 需要 设置 配额 的 文件 来。 配额 属性 设置 如 图 5-16 所 
示 , 单 击 “ 创 建 "按钮 , 则 配额 设置 完成 。 如 果 模 板 所 提供 的 配额 限制 不 符合 自己 的 需要 , 则 
可 以 进行 自 定义 设置 。 
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存储 报告 管理 


筑 :C: \ 作 北 提交 
| 板 : 针对 用 户 的 200 MB 限制 报告 
限制 : 2 妥 颁 ) 


| 警告 65%): 电子 邮件 
-警告 (85%) : 电子 邮件 ， 事 件 日 志 
一 警告 400%) : 电子 邮件 ， 事 件 日 志 ， 报 告 


5-16 配额 属性 


(3) 测试 : 通过 网 络 访问 方式 ,复制 一 个 大 于 200MB 的 文件 到 这 个 共享 文件 夹 中 ,将 
会 提示 磁盘 空间 不 足 , 表 明 磁 盘 空 间 配额 配置 生效 。 

3. 创建 文件 屏蔽 ,限制 文件 存放 类 型 

(1) 在 “文件 服务 器 资源 管理 器 "中 ,展开 * 文 件 屏蔽 管理 "选项 , 单 击 “文件 屏蔽 ”选项 ， 
在 右 侧 窗 格 中 单 击 “创建 文件 屏蔽 ?选项 ,选中 * 从 此 文件 屏蔽 模板 派生 属性 (推荐 选项 )” 单 
选 按钮 ,然后 选择 “阻止 可 执行 文件 ?选项 , 单 击 * 创 建 "按钮 ,如 图 5-17 所 示 。 


创建 文件 屏 项 


: C:A\ 作 业 布 置 
;阻止 可 执行 文件 
屏蔽 类 型 : 活动 

上 ~- 文件 组 : 可 执行 文件 

一 通知 : 电子 邮件 ， 事 件 日 志 


图 5-17 创建 文件 屏蔽 类 型 


(2) 验证 : 将 一 个 扩展 名 为 . exe 的 文件 通过 网 络 访问 方式 复制 到 “作业 布置 "文件 夹 ， 
将 会 出 现 “您 需要 权限 来 执行 此 操作 ”的 提示 ,如 图 5-18 所 示 。 


5-18 测试 文件 类 型 限制 


5.6 FTP 服务 


FTP 服务 器 是 在 互联 网 上 提供 存储 空间 的 计算 机 ,它们 依照 FTP 协议 提供 服务 。 
FTP 的 全 称 是 File Transfer Protocol( 文 件 传输 协议 )。 顾 名 思 义 ,FTP 就 是 专门 用 来 传输 第 
文件 的 协议 。 简 单 地 说 ,支持 FTP 协议 的 服务 器 就 是 FTP 服务 器 。 5 


网 络 系 统 营 理 


一 般 来 说 ,用 户 联网 的 首要 目的 就 是 实现 信息 共享 ,文件 传输 是 信息 共享 非常 重要 的 一 
个 内 容 之 一 。Internet 上 早期 实现 传输 文件 ,并 不 是 一 件 容 易 的 事 , 我 们 知道 Internet 是 一 
个 非常 复杂 的 计算 机 环境 ,有 PC, 有 工作 站 ,有 MAC, 有 大 型 机 , 据 统计 ,连接 在 Internet 上 
的 计算 机 已 有 上 千 万 台 , 而 这 些 计算 机 可 能 运行 不 同 的 操作 系统 ,有 运行 UNIX 的 服务 器 ， 
也 有 运行 DOS、Windows 的 PC 和 运行 Mac OS 的 苹果 机 等 ,而 各 种 操作 系统 之 间 的 文件 交 
流 问 题 ,需要 建立 一 个 统一 的 文件 传输 协议 ,这 就 是 所 谓 的 FTP。 基 于 不 同 的 操作 系统 有 
不 同 的 FTP 应 用 程序 ,而 所 有 这 些 应 用 程序 都 遵循 同一 种 协议 ,这 样 用 户 就 可 以 把 自己 的 
文件 传送 给 别人 ,或 者 从 其 他 的 用 户 环境 中 获得 文件 。 


5.7 应 用 案例 3: 搭建 FTP 服务 器 


5.7.1 案例 内 容 


公司 的 销售 部 (sales) 和 研发 部 (research) 需 要 在 公司 内 部 进行 一 些 文件 的 交换 与 保 
存 , 他 们 希望 这 些 操作 尽 可 能 方便 ,不 需要 使 用 U 盘 等 外 部 存储 设备 在 各 个 部 门 间 奔走 ,就 
可 进行 文件 的 保存 与 交换 。 你 需要 如 何 做 ? 


S.7.2 案例 分 析 


为 了 满足 销售 部 (sales) 和 研发 部 (research) 的 文件 保存 和 交换 的 需求 ,可 以 使 用 FTP 
服务 器 来 完成 这 个 任务 ,给 普通 员工 (sales users 和 research users) 有 上 传 文件 和 下 载 文件 
的 权限 , 且 只 能 上 传 文件 到 本 部 门 所 属 的 文件 夹 下 ,而 完全 权限 (包括 删除 权限 ) 则 赋予 部 门 
经 理 (sales manager 和 research manager) ,从 而 达到 安全 使 用 的 目的 。 

在 FTP 文件 上 传 下 载 中 ,涉及 了 文件 操作 权限 的 设 定 ,而 要 达到 安全 控制 ,只 使 用 
FTP 服务 器 本 身 的 文件 权限 控制 是 不 够 的 ,必须 使 用 NTFS 权限 和 FTP 权限 相 结合 的 方 
式 来 进行 控制 。 

当 FTP 权限 和 NTFS 权限 和 至 加 时 ,最终 权 限 效 果 将 是 二 者 的 交集 ,如 表 5-1 所 示 。 

表 5-1 权限 设 定 要 求 


cs FTP 权限 NTFS 权限 最 终 权限 
用 户 

下 载 ( 读 ), 写 (上 传 ) ,删除 读 下 载 ( 读 ) 

B 下 载 ( 读 ), 写 (上 传 ), 删 除 读 , 写 下 载 ( 读 ) 写 (上 传 ) 

c 下 载 ( 读 ), 写 (上 传 ), 删 除 起 ,而 除 下 载 ( 读 ) ,删除 


S.7.3 案例 实施 过 程 


1. FTP 服务 器 角色 的 安装 

(1) 选择 “开始 ?一 “管理 工具 ”服务 器 管理 器 ?命令 ,打开 “服务 器 管理 器 窗口 。 单 
击 “ 角 色 ” 前 的 十 号 ,在 出 现 的 “Web 服务 器 (1IS)” 选 项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “ 添 
加 角色 服务 ”命令 ,如 图 5-19 所 示 。 


站 上 次 刷新 时 间 : 2010/4/21 12:45:41 配置 刷新 
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(2) 在 出 现 的 “选择 角色 服务 ”对 话 框 中 ,选中 最 下 面 的 “FTP 发 布 服务 ” 复 选 框 ,此 时 会 
出 现 “ 添 加 必需 的 角色 服务 ”确认 框 ,确认 后 ,如 图 5-20 所 示 。 


赤 加 角色 服务 


口 客户 应 证 书 映射 身份 验证 

口 ITs 客户 湛 证 书 映射 身份 验证 
口 we 授权 

回 请 求 入 选 “所 安装 ) 

口 ?和 i 限制 


日 贺 性 党 已 安装 ) 
竟 态 内 容 压缩 “(已 安装 ) 
口 动态 内 容 压缩 


日 贺 管理 IT 具 “(已 安装 ) 
IIS 管理 控制 台 。 忆 安 装 ) 
口 ITs 管理 风 本 和 工具 
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(3) 单 击 “下 一 步 "按钮 ,然后 单 击 “安装 ?按钮 。 
(4) 完成 安装 后 ,在 “管理 工具 ”下 会 出 现 “Internet 信息 服务 (IIS)6. 0 管理 器 ?选项 , 单 
击 此 项 即 可 进入 FTP 站 点 管理 窗口 。 依 次 展开 各 个 十 号 ,最 终 会 看 到 默认 FTP 站 点 
(Default FTP Site) ,此 时 FTP 功能 还 没有 运行 , 右 击 Default FTP Site 选项 ,选择 “启动 ” 命 
令 ,最终 情况 如 图 5-21 所 示 。 


网 络 系 统 营 理 


此 视图 中 没有 可 显示 的 项 目 。 
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(5) 现在 可 以 在 资源 管理 器 的 地 址 栏 中 使 用 ftp://10. 0. 0. 1 来 访问 FTP 站 点 了 ,如 
5-22 所 示 。 
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注 : 此 时 的 默认 FTP 站 点 目录 是 C:\inetpub\ftproot, 其 中 没有 任何 文件 ,因此 显示 的 
内 容 为 空 。 

2. 设置 FTP 权限 ,满足 案例 需求 

在 这 个 项 目 中 ,对 于 不 同 身份 的 用 户 ,需要 有 不 同 的 FTP 访问 权限 , 现 对 权限 需求 总 结 
如 表 5-2 所 示 。 


表 5-2 各 用 户 访问 权限 需求 


身份 文件 夹 访问 权限 需求 
Sales users dl 写 ( 上 传 ), 下 载 ( 读 ) 
Sales manager ee 写 ( 上 传 ) ,下 载 ( 读 ) ,删除 
Research users 写 ( 上 传 ) ,下 载 ( 读 ) 
Research manager ww 写 ( 上 传 ) ,下 载 ( 读 ) ,删除 


除 以 上 权限 外 ,sales 部 门 的 用 户 和 经 理 无 权 对 research 部 门 的 文件 夹 进行 下 载 ( 读 ) 操 
作 以 外 的 任何 操作 。 


根据 以 上 总 结 的 权限 ,我 们 可 以 最 终 确 认 以 下 的 FTP 与 NTFS 的 权限 设 定 需求 ( 注 
意 : 对 于 一 个 FTP 站 点 来 说 ,要 保证 用 户 可 以 写 和 文件 , 则 必须 开启 整个 FTP 站 点 的 写 入 
权限 ,而 对 具体 目录 的 写 操作 限制 , 则 由 NTFS 权限 来 限定 ,最 终 权限 是 FTP 权限 与 NTFS 
权限 的 交集 ): 

sales 部 门 员工 对 sales 文件 夹 和 research 文件 夹 的 权限 如 表 5-3 所 示 。 


表 5-3 sales 部 门 员 工 访问 权限 


身份 文件 夹 FTP 权限 NTFS 权限 
Sales users a 上 传 ( 写 ) ,下 载 ( 读 ) 读 , 写 ( 包 括 创建 目录 ) 
Sales manager 上 传 ( 写 ) ,下 载 ( 读 ) 读 , 写 (包括 创建 目录 ) ,删除 
Sales users 下 载 ( 读 ) 读 
Sales manager Donk 下 载 ( 读 ) 读 


research 部 门 员工 对 sales 文件 夹 和 research 文件 夹 的 权限 如 表 5-4 所 示 。 
表 5-4 ”research 部 门 员工 访问 权限 


身份 文件 夹 FTP 权限 NTFS 权限 
research users sales 下 载 读 
research manager 下 载 读 
research users research 上 传 ,下 载 读 , 写 (包括 创建 目录 ) 
Research manager 上 传 ,下 载 , 删 除 读 , 写 (包括 创建 目录 ) ,删除 


创建 用 户 及 组 ,以 便 在 后 续 设 置 访问 权限 ,相关 信息 如 表 5-5 所 示 ( 注 : 用 户 和 组 的 添 
加 请 参考 相关 资料 ) 。 


表 5-5 创建 组 及 用 户 相关 信息 


组 组 员 密码 
tom tom99. com 
sales users 

john john99. com 
sales manager ben ben99. com 
lqy p@sswd99 

research users 
dim p@sswd77 
research manager jim Jim66. com 


(1) 选择 “开始 ”管理 工具 ”Internet 信息 服务 (IIS)6. 0 管理 器 ”选项 ,展开 FTP 
站 点 , 右 击 Default FTP Site 选项 ,选择 “属性 ”命令 ,在 *FTP 站 点 ?选项 卡 中 进行 如 图 5-23 所 
示 的 设置 。 

(2) 单 击 “ 安 全 帐户 ”标签 ,取消 选中 “允许 匿名 连接 " 复 选 框 ,也 就 是 必须 使 用 用 户 名 和 
密码 进行 访问 ,如 图 5-24 所 示 。 当 然 ,也 可 以 允许 使 用 匿名 连接 ,具体 视 使 用 情况 而 定 。 在 
本 例 中 ,为 了 安全 ,必须 使 用 用 户 名 和 密码 访问 。 

(3) 单 击 “ 主 目录 ”标签 ,进行 如 图 5-25 所 示 的 设置 。 

注 : 在 FTP site 目录 下 ,我 们 已 经 创建 了 sales 文件 夹 和 research 文件 夹 。 
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图 5-24 设置 FTP 站 点 安全 帐户 


(4) 此 时 ,已 经 可 以 使 用 ftp://10.0.0.1 来 访问 设置 好 的 FTP 站 点 了 (此 时 的 目录 已 
经 不 是 默认 的 位 置 了 ,已 经 更 改 为 我 们 设 定 的 FTP site 目录 了 ) ,如 图 5-26 所 示 。 

(5) 此 时 ,已 可 以 正常 访问 两 个 部 门 的 FTP 文件 夹 了 ,但 相关 权限 并 不 完整 ,现在 需 
要 对 文件 夹 的 NTFS 权限 进行 设 定 , 最 终 实 现 项 目 分 析 中 所 要 求 的 权限 ,各 文件 夹 权 限 
设 定 如 表 5-6 一 表 5-8 所 示 ( 注 : 关于 NTFS 权限 设 定 的 方法 ,请 参阅 相关 资料 ,此 处 不 再 
详 述 )。 


ftp://10.0.0.1/ 


5-26 访问 FTP 站 点 


表 5-6 不 同 用户 组 对 站 点 根 目录 的 访问 权限 


文件 夹 身份 NTFS 权限 继承 性 
sales users 
二 读 取 和 执行 ; 
les manager 
ftp site 列 出 文件 夹 目录 ; 不 向 下 继承 
research users 读 取 


research manager 
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文件 夹 


表 5-7 不 同 用 户 组 对 sales 文件 夹 的 访问 权限 


身份 


NTFS 权限 


继承 性 


sales 


文件 夹 


sales users 


读 取 和 执行 ; 
列 出 文件 夹 目录 ; 
读 取 ; 

写 入 


sales manager 


完全 控制 


research users 


读 取 和 执行 ; 
列 出 文件 夹 目 录 ; 
读 取 


research manager 


表 5-8 不 同 用 户 组 对 reseai 


身份 


读 取 和 执行 ; 
列 出 文件 夹 目 录 ; 
读 取 


rch 文件 夹 的 访问 权限 
NTFS 权限 


不 继承 父 文件 夹 权 限 


继承 性 


research 


经 过 以 上 设 定 后 ,FTP 服务 器 即 可 正常 运行 ,并 能 满足 项 目 分 析 中 所 设 定 的 需求 ,使 用 


sales users 


读 取 和 执行 ; 
列 出 文件 夹 目录 ; 


sales manager 


research users 


列 出 文件 夹 目录 ; 
读 取 ; 
写 人 


research manager 


完全 控制 


不 同 身份 的 用 户 登录 FTP, 进 行 各 种 读 写 操作 进行 验证 即 可 。 


某 员工 想 在 局 域 网 内 传送 一 些 文件 给 同事 ,由 于 企业 内 部 网 络 管理 严格 ,不 允许 安装 
QQ 类 通信 软件 ,因此 无 法 通过 这 样 的 软件 进行 文件 传送 ,他 可 以 怎样 做 ,来 达到 目的 ? 请 


帮 他 实现 。 


某 公 司 安装 配置 了 文件 服务 器 ,用 来 存放 资料 ,为 了 安全 起 见 , 不 允许 向 共享 文件 夹 内 


5.8 练习 案例 


不 继承 父 文件 夹 权 限 


存放 可 执行 程序 ,而 且 禁 止 存放 音频 文件 和 视频 文件 ,请 完成 相关 配置 工作 。 


公司 现 计 划 配 置 一 人 台 FTP 服务 器 ,用 来 给 市 场 部 和 生产 部 进行 文件 保存 交换 ,要 求 相 


互 之 间 只 有 访问 权限 ,但 对 自己 部 门 的 文件 夹 有 完全 权限 ,请 完成 配置 工作 并 测试 。 


5.9 课 后 习题 


1. 简 述 共享 权限 和 NTFS 权限 的 联系 与 区 别 。 
2. 相对 于 共享 文件 夹 ,文件 服务 器 有 什么 优点 ? 


3. 为 配合 公司 的 活动 要 求 , 你 搭建 了 FTP 服务 器 ,并 将 目录 定位 到 了 NTFS 文件 格式 
的 磁盘 下 ,你 确认 已 经 配置 了 FTP 的 写 入 权限 ,但 在 测试 时 发 现 匿名 登录 后 ,无 法 写 入 文 


件 , 请 给 出 解决 问题 的 思路 。 
4. 如 果 想 在 已 经 创建 了 文件 屏蔽 的 文件 夹 下 的 子 文件 夹 内 ,上 传 已 经 被 
型 ,可 以 使 用 什么 功能 进行 (请 自行 查找 资料 )? 


屏蔽 的 文件 类 
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6.1 IP 地 址 概述 


6.1.1 为 什么 使 用 IP 地 址 


因为 IP 地 址 是 用 来 标识 网 络 中 的 一 个 通信 实体 ,比如 一 台 主 机 ,或 者 是 路 由 器 的 某 一 
个 端口 。 而 在 基于 IP 协议 网 络 中 传输 的 数据 包 , 也 都 必须 使 用 IP 地 址 来 进行 标识 。 

任何 一 个 IP 地 址 都 是 由 两 部 分 组 成 的 : 网 络 ID 和 主机 ID。 这 与 现实 中 的 地 址 组 成 是 
类 似 的 , 当 IP 数据 包 在 网 络 上 传输 的 时 候 , 先 根据 网 络 ID 找到 目的 计算 机 所 处 的 网 络 , 然 
后 根据 主机 ID 在 本 地 网 络 内 将 数据 包 发 送 给 目的 计算 机 。 以 邮寄 普通 邮件 到 学 校 为 例 , 邮 
递 员 一 般 不 是 把 信和 直接 寄 给 收 件 人 ,而 是 把 收 信 地 址 作为 两 个 部 分 , 先 把 邮件 寄 到 学 校 的 门 
卫 ( 相 当 于 网 络 ID) ,然后 在 学 校内 部 交 给 收 件 人 (相当 于 主机 ID) 。 
6.1.2 IP 地 址 相关 知识 

目前 ,IP 地 址 使 用 32 位 二 进 制 地 址 格式 ,为 方便 记忆 ,通常 使 用 以 点 号 划分 的 十 进 制 
来 表示 ,如 : 202. 112. 14. 1 ,每 个 十 进 制 数 字 的 范围 是 0 一 255, 如 果 使 用 二 进 制 进 行 表示 正 
好 是 8b 二 进 制 数字 。 

为 了 给 不 同 规模 的 网 络 提供 必要 的 灵活 性 ,IP 地 址 空间 被 划分 为 5 个 不 同 的 地 址 类 
别 ,其 中 A、B.、C 三 类 最 为 常用 ,各 类 IP 地 址 的 网 络 ID 和 主机 ID 字段 情况 如 表 6-1 所 示 。 

表 6-1 网 络 ID 和 主机 ID 字段 情况 表 


IP 地 址 类 型 IP 地 址 网 络 ID 主机 ID 
A 类 a.b.c.d a b.c.d 
B 类 a.b.c.d a.b cd 
C 类 a.b.c.d uhe d 
1. A 类 地 址 


A 类 地 址 第 1 字 节 (8 位 二 进 制 ) 为 网 络 地 址 ,其 他 3 个 字 节 (24 位 二 进 制 ) 为 主机 地 址 。 
另外 第 1 个 字 节 的 最 高 位 固定 为 0。A 类 地 址 的 网 络 地 址 范围 是 (00000001)， 一 
《01111111);, 即 1~127, 所 以 A 类 IP 地 址 范围 是 1.0.0. 1 一 126. 255. 255. 254。 子 网 掩 码 
使 用 255. 0. 0.0。 

对 于 每 个 网 络 容纳 的 主机 数 ,我 们 可 以 使 用 这 个 公式 来 进行 计算 : 2" 一 2, 这 里 要 减 2， 
是 因为 IP 地 址 如 果 主 机 ID 为 0, 一 般 用 来 表示 一 个 网 络 ; 如 果 主 机 ID 为 二 进 制 的 全 1( 二 


进 制 11111111 即 为 十 进 制 255) 则 表示 广播 地 址 ,所 以 可 以 用 来 表示 主机 的 主机 ID 数量 应 
当 减 去 2 个 。 因 此 ,每 个 A 类 网 络 可 容纳 的 主机 数量 为 22 一 2 一 16 777 214 台 。 

Internet 有 126 个 可 用 的 A 类 网 络 地 址 。A 类 地 址 适用 于 有 大 量 主机 的 大 型 网 络 。 

A 类 地 址 中 的 私有 地 址 和 保留 地 址 如 下 : 

10.0.0.0 一 10.255.255. 255 是 私有 地 址 (所 谓 的 私有 地 址 ,就 是 在 互联 网 上 不 使 用 ,而 
被 用 在 局 域 网 络 中 的 地 址 ,下 同 )。 

127. 0. 0.0 一 127. 255. 255. 255 是 保留 地 址 ,用 来 进行 循环 测试 。 

0. 0.0.0 一 0.255. 255. 255 也 是 保留 地 址 ,用 来 表示 所 有 的 IP 地 址 。 

2. B 类 地 址 

B 类 地 址 第 1 和 第 2 字 节 (16 位 二 进 制 ) 为 网 络 地 址 ,其 他 两 个 字 节 (16 位 二 进 制 ) 为 主 
机 地 址 。 另 外 第 1 个 字 节 的 最 高 位 固定 为 10。B 类 地 址 的 网 络 地 址 范围 是 (10000001)。 一 
(10111111)s, 即 128 一 191, 所 以 B 类 IP 地 址 范围 是 128. 0. 0. 1 一 191. 255. 255. 254。 子 网 
扼 码 使 用 255. 255. 0. 0。 

每 个 B 类 网 络 可 容纳 的 主机 数量 为 2* 一 2 二 65 534 台 。 

Internet 有 2" 一 2 二 16 382 个 B 类 网 络 地 址 。 

B 类 地 址 的 私有 地 址 和 保留 地 址 如 下 : 

172. 16. 0. 0 一 172. 31. 255. 255 是 私有 地 址 。 

169. 254. 0.0 一 169. 254. 255. 255 是 保留 地 址 。 如 果 你 的 IP 地 址 是 自动 获取 IP 地 址 ， 
而 你 在 网 络 上 又 没有 找到 可 用 的 DHCP 服务 器 ,这 时 将 会 从 169. 254. 0. 0 一 169. 254. 255. 255 
中 临时 获得 一 个 IP 地 址 。 

3. C 类 地 址 

C 类 地 址 第 1 一 3 字 节 (24 位 二 进 制 ) 为 网 络 地 址 ,其 他 1 个 字 节 (8 位 二 进 制 ) 为 主机 地 
址 。 另 外 第 1 个 字 节 的 最 高 位 固定 为 110。C 类 地 址 的 网 络 地 址 范围 是 : (11000001)， 一 
(11011111);, 即 192 一 223, 所 以 C 类 IP 地 址 范围 是 192. 0. 0. 1 一 223. 255. 255. 254。 子 网 
掩 码 使 用 255. 255. 255. 0。 

每 个 C 类 网 络 可 容纳 的 主机 数量 为 2 一 2 一 254 台 。 

Internet 有 2097152 个 C 类 地 址 段 (32X256X256)B 类 网 络 地 址 。 

C 类 地 址 中 的 私有 地 址 为 : 192. 168. 0. 0 一 192. 168. 255. 255 是 私有 地 址 。 


6.2 子 网 划分 


6.2.1 耶 网 播 码 


子 网 掩 码 是 一 个 32 位 地 址 ,用 于 屏 项 IP 地 址 的 一 部 分 以 区 别 网 络 标识 和 主机 标识 ,并 
说 明 该 IP 地 址 是 在 局 域 网 上 ,还 是 在 远程 网 上 。 子 网 掩 码 不 能 单独 存在 , 它 必 须 结合 IP 地 
址 一 起 使 用 。 子 网 掩 码 只 有 一 个 作用 ,就 是 将 某 个 IP 地 址 划分 成 网 络 地 址 和 主机 地 址 两 
部 分 。 

子 网 掩 码 的 设 定 必须 遵循 一 定 的 规则 。 与 IP 地 址 相同 , 子 网 掩 码 的 长 度 也 是 32 位 , 左 
边 是 网 络 位 ,用 二 进 制 数字 1 表示 ; 右边 是 主机 位 ,用 二 进 制 数字 0 表示 。 只 有 通过 子 网 掩 
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击溃 
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码 , 才 能 表明 一 台 主 机 所 在 的 子 网 与 其 他 子 网 的 关系 ,使 网 络 正常 工作 。 
6.2.2 什么 是 子 网 划分 


子 网 划分 是 这 样 一 个 事情 : 因为 在 划分 了 子 网 后 ,IP 地 址 的 网 络 号 是 不 变 的 ,因此 在 局 
域 网 外 部 看 来 ,这 里 仍然 只 存在 一 个 网 络 , 即 网 络 号 所 代表 的 那个 网 络 ; 但 在 网 络 内 部 却 
是 另外 一 个 景象 ,因为 每 个 子 网 的 子 网 号 是 不 同 的 , 当 用 划分 子 网 后 的 了 P 地 址 与 子 网 掩 
码 (注意 ,这 里 指 的 子 网 掩 码 已 经 不 是 默认 子 网 掩 码 了 ,而 是 自 定 义 子 网 掩 码 , 是 管理 员 
在 经 过 计算 后 得 出 的 ) 做 “与 ?运算 时 ,每 个 子 网 将 得 到 不 同 的 子 网 地 址 ,从 而 实现 了 对 网 
络 的 划分 。 

子 网 编 址 技术 , 即 子 网 划分 将 会 有 助 于 以 下 问题 的 解决 : 

(1) 巨大 的 网 络 地 址 管理 耗费 。 如 果 你 是 一 个 A 类 网 络 的 管理 员 , 你 一 定 会 为 管理 数 
量 庞 大 的 主机 而 头痛 的 ; 

(2) 路 由 器 中 的 路 由 表 的 急剧 膨胀 。 当 路 由 器 与 其 他 路 由 器 交换 路 由 表 时 ,互联 网 的 
负载 是 很 高 的 ,所 需 的 计算 量 也 很 高 ; 

(3) IP 地 址 空间 有 限 并 终 将 枯竭。 这 是 一 个 至 关 重 要 的 问题 ,高 速 发 展 的 Internet ,使 
原来 的 编 址 方法 不 能 适应 ,而 一 些 IP 地 址 却 不 能 被 充分 地 利用 ,造成 了 浪费 。 

因此 ,在 配置 局 域 网 或 其 他 网 络 时 ,根据 需要 划分 子 网 是 很 重要 的 ,有 时 也 是 必要 的 。 
现在 , 子 网 编 址 技术 已 经 被 绝 大 多 数 局 域 网 所 使 用 。 


6.3 应 用 案例 1: 子 网 划分 


6.3.1 案例 内 容 


你 是 某 公司 的 网 络 管理 员 ,目前 有 5 个 部 门 , 现 有 网 段 是 192. 168. 2. 0/24 ,你 的 任务 是 
为 每 个 部 门 划 分 单独 的 网 段 ,你 该 怎样 做 呢 ? 


6.3.2 案例 分 析 


在 本 案例 中 ,需要 为 5 个 部 门 分 配 单独 的 网 段 。 并 且 , 只 能 用 192. 168. 2. 0/24 这 个 网 
段 , 也 就 是 说 ,需要 把 192. 169. 2. 0/24 这 个 网 段 ,进行 再 次 划分 ,生成 至 少 5 个 子 网 ,我 们 需 
要 计算 出 满足 这 个 划分 方法 的 子 网 掩 码 , 并 计算 出 各 部 门 的 子 网 网 络 号 是 什么 、 各 网 段 的 
IP 地 址 范围 是 什么 。 


6.3.3 案例 实施 过 程 


(1) 在 这 里 ,我 们 要 使 用 到 经 典 的 计算 公式 2 这 rz。 在 这 里 ,z 就 是 要 划分 的 子 网 数量 ， 
有 5 个 部 门 ,因此 x 二 5, 而 n 是 子 网 掩 码 中 所 要 用 来 表示 网 络 位 的 位 数 。 因 此 2 过 5, 得 出 
1 一 3。 

(2) 由 于 nn 表示 子 网 掩 码 中 用 来 表示 网 络 位 的 位 数 ,因此 , 子 网 掩 码 中 前 3 位 是 1, 后 
5 位 为 0。 而 项 目 中 已 给 出 的 子 网 掩 码 是 255. 255. 255. 0, 则 新 的 子 网 掩 码 应 为 255. 255. 
255.11100000, 即 255. 255. 255. 224, 如 表 6-2 所 示 。 


表 6-2 子 网 掩 码 计 算 


原子 网 掩 码 计算 后 得 出 的 结论 新 的 子 网 掩 码 
255. 255. 255. 00000000 最 后 5 位 ( 即 低 5 位 ) 是 主机 ID， 255. 255. 255. 11100000 
255. 255. 255.0 为 0; 高 3 位 是 网 络 ID 255. 255. 255. 224 


按照 新 的 子 网 掩 码 ,计算 各 网 段 的 网 络 ID。 对 于 网 络 ID 来 说 ,其 可 变 范围 是 000 一 
111, 用 网 络 ID 与 子 网 掩 码 进行 AND( 与 ) 操 作 , 即 可 得 出 各 网 段 的 网 段 号 ,如 表 6-3 所 示 。 


表 6-3 子 网 网 段 计算 


网 段 号 1 2 3 4 5 6 7 8 
网 络 ID 00000000 | 00100000 | 01000000 | 01100000 | 10000000 | 10100000 | 11000000 | 11111111 
子 网 掩 码 | 11100000 | 11100000 | 11100000 | 11100000 | 11100000 | 11100000 | 11100000 | 11100000 
AND 结果 
(10 进 制 ) 


0 32 64 96 128 160 192 224 


即 8 个 子 网 的 网 段 地 址 如 表 6-4 所 示 。 
表 6-4 新 的 子 网 ID 


子 网 1 子 网 2 子 网 3 子 网 4 
192. 168. 2.0 192. 168. 2. 32 192. 168. 2. 64 192. 168. 2. 96 
子 网 5 子 网 6 子 网 7 子 网 8 
192. 168. 2. 128 192. 168. 2. 160 192. 168. 2. 192 192. 168. 2. 224 


计算 各 子 网 的 IP 范围 ,如 表 6-5 所 示 。 
表 6-5 各 子 网 的 IP 信息 


子 网 | 二 进 制 子 网 号 | 二 进 制 主机 号 范围 | 十 进 制 主机 号 范围 | 可 容纳 的 主机 数 | 子 网 地 址 | 广播 地 址 

1 000 00001 一 11110 1~30 30 0 31 

2 001 00001 一 11110 33 一 62 30 32 63 

3 010 00001 一 11110 65 一 94 30 64 95 

4 011 00001 一 11110 97~126 30 96 127 

5 100 00001 一 11110 129~158 30 128 159 

6 101 00001 一 11110 161~190 30 160 191 

7 110 00001 一 11110 193~222 30 192 223 

8 111 00001 一 11110 225~254 30 224 255 

注意 : 主机 位 全 0 代表 网 络 地 址 ,主机 位 全 1 代表 广播 地 址 
整理 为 常用 IP 形式 ,如 表 6-6 所 示 。 
表 6-6 ”最 终 子 网 IP 信息 列表 

子 网 IP 地 址 范围 可 容纳 的 主机 数 子 网 地 址 广播 地 址 
by 192. 168. 2. 1~192. 168. 2. 30 30 192. 168.2.0 192. 168. 2.31 
2 192. 168. 2. 32 一 192. 168. 2. 63 30 192. 168. 2. 32 192. 168. 2. 63 
3 192. 168. 2. 64 一 192. 168. 2. 95 30 192. 168. 2. 64 192. 168. 2. 95 
4 192. 168. 2. 96 一 192. 168. 2. 127 30 192. 168. 2. 96 192. 168. 2. 127 
5 192. 168. 2. 128 一 192. 168. 2. 159 30 192. 168. 2. 128 192. 168. 2. 159 
6 192. 168. 2. 160 一 192. 168. 2. 192 30 192. 168. 2. 160 192. 168. 2. 191 
7 192. 168. 2. 192 一 192. 168. 2.223 30 192. 168. 2. 192 192. 168. 2. 223 
8 192. 168. 2. 225 一 192. 168. 2. 254 30 192. 168. 2. 224 192. 168. 2. 255 
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现在 ,你 已 经 完成 了 子 网 划分 的 任务 要 求 : 5 个 部 门 需要 5 个 单独 的 网 段 ,并 且 单个 部 
门 的 了 P 范围 也 确定 了 。 在 已 提供 的 1 个 C 类 网 段 上 ,划分 了 8 个 子 网 ,只 要 选择 其 中 的 
5 个 子 网 提供 使 用 ,就 可 以 满足 这 个 项 目的 需求 。 


6.4 DHCP 服务 


6.4.1 为 什么 使 用 DHCP 服务 


在 一 个 企业 中 ,有 500 台 计 算 机 。 为 了 能 够 正常 使 用 网 络 ,每 个 计算 机 需要 设置 一 个 
IP 地 址 ,管理 员 手 动 到 每 台 机 器 上 设置 IP 地 址 显然 是 一 项 繁重 的 任务 。 即 便 是 手动 设置 
完了 ,一 旦 网 络 中 的 计算 机 有 变化 , 则 需要 再 次 进行 设 定 , 这 对 于 网 络 管理 员 来 说 是 非常 麻 
烦 的 。 如 何 来 简化 这 个 过 程 ,让 管理 员 从 繁重 的 IP 设置 任务 中 解脱 出 来 ,去 做 更 重要 的 网 
络 维护 任务 呢 ? 

我 们 可 以 采用 DHCP 服务 器 来 解决 这 个 问题 。DHCP 是 Dynamic Host Configuration 
Protocol( 动 态 主机 分 配 协议 ) 缩 写 ,可 以 简化 网 络 中 的 IP 地 址 分 配 工作 。 一 般 来 说 , 设 定 
IP 地 址 的 方法 有 两 种 : 

(1) 手动 设置 IP 地 址 。 这 种 方法 需要 在 每 个 客户 端 手动 设置 IP 地 址 及 相关 选项 , 工 
作 量 大 ,费时 费力 , 且 容 易 导 致 IP 问题 出 现 , 进 而 影响 客户 机 网 络 使 用 ,如 IP 地址 冲突 等 。 
一 旦 发 生 这 样 的 问题 ,追踪 源头 会 很 困难 。 另 外 ,如 果 把 客户 机 从 一 个 网 络 搬 到 另 一 个 网 络 
中 , 则 需要 再 次 进行 设 定 。 

(2) 自动 设置 IP 地 址 。 利 用 DHCP 服务 器 ,来 进行 客户 端 IP 地 址 的 自动 分 配 。 这 意 
味 着 管理 员 不 需要 到 每 台 客 户 机 上 去 手动 设置 IP 地 址 ,而 是 由 DHCP 服务 器 来 完成 这 个 
工作 ,并 且 不 会 出 现 IP 地 址 冲突 的 情况 。 手 动 设置 IP 和 自动 设置 IP 的 区 别 如 表 6-7 所 示 。 

表 6-7 手动 IP 设置 与 自动 IP 设置 对 比 


手动 TCP/IP 设置 自动 TCP/IP 设 置 
必须 在 每 台 客户 端 上 输入 IP 地 址 DHCP 服务 器 自动 为 客户 端 计算 机 提供 IP 地 址 
可 能 输入 错误 或 无 效 的 IP 地 址 确保 网 络 中 的 客户 端 使 用 正确 的 配置 信息 
错误 的 配置 可 能 导致 通信 问题 和 网 络 问题 排除 一 系列 由 人 P 地址 而 导致 的 常见 网 络 问题 的 来 源 
对 于 计算 机 在 子 网 间 频 繁 移动 的 网 络 来 说 ,增加 
了 管理 上 的 开销 客户 端 配置 自动 更 新 以 反映 网 络 结构 的 变化 


使 用 DHCP 自动 分 配 IP 地 址 , 当 客 户 端 连 入 网 络 ,并 发 出 IP 地 址 请 求 时 ,DHCP 服务 
器 从 IP 地 址 池 中 临时 分 配 一 个 IP 地 址 给 客户 端 , 当 客户 端 不 使 用 时 ,DHCP 服务 器 可 以 收 
回 这 个 IP, 并 把 它 分 配给 其 他 有 需要 的 客户 端 。 这 样 可 以 有 效 节约 IP 地 址 , 既 保证 了 客户 
机 的 网 络 通信 ,又 提高 了 IP 地 址 的 使 用 率 。 


6.4.2 DHCP 基础 知识 


1. DHCP 服务 器 的 工作 原理 (如 图 6-1 所 示 ) 
DHCP 客户 端 自动 获取 IP 地 址 的 过 程 ,由 四 个 步 又 完成 : 
(1) 客户 端 发 送 DHCP DISCOVER( 广 播 形式 )。 当 DHCP 客户 端 第 一 次 登录 网 络 的 


DHCP 客 户 机 DHCP 服务 器 


IP 得 约 
1 DHCPDISCOVER 


哺 认 IP 租 约 
DHCPACK 4 


此 过 程 均 以 广播 方式 进行 


6-1 租约 生成 过 程 


时 候 , 也 就 是 客户 发 现 本 机 上 没有 任何 IP 数据 设 定 , 它 会 向 网 络 发 出 一 个 DHCP DISCOVER 
封包 ,向 网 络 中 寻求 DHCP 服务 。 

(2) DHCP 服务 器 回应 DHCP OFFER( 广 播 形 式 )。DHCP 服务 器 会 从 那些 还 没有 租 
出 的 地 址 范围 内 ,选择 最 前 面 的 空置 IP, 连 同 其 他 TCP/IP 设 定 , 响 应 给 客户 端 一 个 DHCP 
OFFER 封包 。 

(3) 客户 端 回应 DHCP REQUEST( 广 播 形式 )。 如 果 客 户 端 收 到 网 络 上 多 台 DHCP 
服务 器 的 响应 ,只 会 挑选 其 中 一 个 DHCP OFFER 而 已 (通常 是 最 先 抵达 的 那个 ) ,并 且 会 向 
网 络 发 送 一 个 DHCP REQUEST 广播 封包 ,告诉 所 有 DHCP 服务 器 它 将 指定 接收 哪 一 台 
服务 器 提供 的 IP 地 址 。 

(4) DHCP 服务 器 响应 DHCPACK (广播 形式 )。 当 DHCP 服务 器 接收 到 客户 端的 
DHCP REQUEST 之 后 ,会 向 客户 端 发 出 一 个 DHCPACK 响应 ,以 确认 IP 租约 的 正式 生 
效 , 也 就 结束 了 一 个 完整 的 DHCP 工作 过 程 。 

2. 租约 的 更 新 

客户 端 在 获取 到 IP 地 址 信息 时 ,同时 会 产生 租约 时 间 ( 默 认为 8 天 ) , 当 使 用 IP 地 址 时 
间 达 到 租约 时 间 的 50% 时 ,客户 端 开始 进行 续 约 操作 , 续 约 成 功 则 继续 使 用 当前 IP 地 址 ， 
并 更 新 租约 时 间 。 如 果 此 时 续 约 不 成 功 , 则 在 租约 时 间 达 到 87. 5% 时 再 次 续 约 ; 如 果 仍 不 
能 续 约 , 客 户 端 则 开始 进行 重新 开始 租约 过 程 , 即 重新 获取 IP 地 址 。 


6.5 应 用 案例 2: 搭建 DHCP 服务 器 


6.5.1 案例 内 容 


假定 你 是 公司 的 网 络 管理 员 ,网 络 地 址 为 10. 0. 0. 0/24。 网 络 里 有 200 台 计 算 机 ,为 了 
方便 用 户 使 用 网 络 , 所 有 的 计算 机 都 需要 能 自动 获取 IP 地 址 ,并 且 能 够 自动 获取 网 关 及 
DNS 配置 信息 ; 另外 .Web 服务 器 与 FTP 服务 器 要 求 IP 地 址 能 够 固定 ,分 别 使 用 10. 0. 0. 66 
和 10. 0.0. 88 作为 自己 计算 机 的 IP 地 址 。 作 为 管理 员 ,你 要 如 何 解决 这 些 问题 ? 
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6.5.2 案例 分 析 


(1) 在 本 项 目 中 ,为 了 让 客户 端 能 够 自动 获取 IP 地 址 ,在 网 络 中 必须 安装 DHCP 服 
务 器 。 

(2) DHCP 服务 器 需要 配置 相应 的 作用 域 , 生 成 IP 地 址 池 ,以 供 客户 机 申请 使 用 。 

(3) DHCP 服务 器 在 给 客户 端 提 供 IP 地 址 的 同时 ,还 需要 为 客户 端 提供 网 关 地 址 和 
DNS 地 址 等 信息 ,让 客户 端 在 获得 IP 地 址 的 同时 ,也 能 够 获取 这 些 信息 ,并 配置 使 用 。 

(4) DHCP 服务 器 还 需要 针对 Web 服务 器 和 FTP 服务 器 对 IP 地 址 的 特殊 需求 ,进行 
设置 ,使 它们 能 够 获得 固定 的 IP 地 址 。 


6.5.3 案例 实施 过 程 


1. 安装 DHCP 服务 
注意 : 作为 服务 器 ,必须 拥有 固定 IP 地 址 ,本 例 中 服务 器 使 用 10.0.0.1 作为 IP 地 址 。 
(1) 选择 “开始 ”>“ 管 理工 具 ”>“ 服 务 器 管理 器 "选项 ,打开 “服务 器 管理 器 "窗口 , 单 击 
“角色 ”选项 ,如 图 6-2 所 示 。 
ET FETE ‘=I9|x] 
文件 @) 操作 OA) 查看 WW) 帮助) 


外 中 | 方 | 四 | 
Ba (SRY-1) 


日 
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田 时 六 查看 安装 在 服务 器 上 前 色 的 运行 状 兄 ， 以 及 添加 或 是 除 角色 和 功能 。 
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日 讲 论 电 
日 副本 置 a) 
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田 局 Windows 防火 
区 古 机 轿 角色 : 已 安装 2 ( 共 17) 高 添加 角色 
“WI 控制 
日 二 0 Web 服务 器 (IS) Web 服务 器 IIS) 帮助 
国 组 
田 留 存储 马 文 件 服务 ， 文件 服务 帮助 


国 | 入 上 次 出 Bd 间 : 2013/9/2 22:42:29 配置 刷新 


[EE 


6-2 ”添加 服务 器 角色 


(2) 单 击 “ 添 加 角色 ”选项 ,如 图 6-2 中 右 侧 方 框 所 示 位 置 。 然 后 单 击 “ 服 务 器 角色 ” 选 
项 , 即 可 对 所 要 添加 的 角色 进行 选择 ,如 图 6-3 所 示 , 单 击 “ 下 一 步 " 按 钮 。 注 意 ; 如 果 此 时 
服务 器 还 未 配置 固定 IP 地 址 , 则 系统 会 进行 提示 ,为 保证 DHCP 服务 器 工作 正常 ,请 在 安 
装 DHCP 服务 器 前 设置 好 固定 IP 地 址 。 

(3) 此 时 会 出 现 DHCP 服务 器 简介 及 注意 事项 ,阅读 了 解 后 , 单 击 * 下 一 步 ? 按 钮 。 出 
现 如 图 6-4 所 示 窗 口 ,显示 出 本 机 所 绑 定 的 IP 地 址 ,选择 要 设 定 为 服务 器 所 使 用 的 IP 地 
址 , 单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 出 现 的 父 域 及 DNS 设 定 窗口 中 ,设置 父 域名 称 信息 和 DNS 服务 器 地 址 信息 ,如 
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Active Directory Rights 有 lanagement Services 


图 6-4 设 定 服务 器 的 IP 地 址 


图 6-5 所 示 ,如 果 不 指 定 , 则 直接 单 击 * 下 一 步 ?按钮 。 

(5) 此 时 ,出 现 的 是 WINS 服务 器 地 址 信息 设 定 窗 口 ,如 图 6-6 所 示 ,此 处 不 设置 ,直接 
单 击 “ 下 一 步 ?按钮 。 

(6) 出 现 了 “添加 作用 域 " 窗 口 , 如 图 6-7 所 示 , 根 据 实际 情况 , 填 人 相关 信息 ,并 选中 
“激活 此 作用 域 " 复 选 框 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(7) 此 时 ,将 出 现 IPv6 的 相关 设置 窗口 ,可 以 根据 实际 情况 进行 设 定 ,本 例 中 不 涉及 
IPv6 ,因此 直接 单 击 两 次 * 下 一 步 ?按钮 , 跳 过 对 IPv6 的 设 定 。 


地 加 典 
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论 指定 IPv4 DNS 服务 器 设置 


图 6-6 设置 WINS 服务 器 信息 


添加 作用 域 


图 6-7 设置 作用 域 信息 


(8) 出 现 * 确 认 安 装 选择 ?窗口 ,在 窗口 中 列 出 了 对 DHCP 服务 器 设 定 的 相关 总 结 信 
息 , 如 图 6-8 所 示 ,检查 确认 无 误 后 , 单 击 “ 安 装 "按钮 。 


国 支 装 完成 之 后 ， 可 能 需要 重新 启动 该 服务 器 。 
加 nicP 服务 器 
网 络 连 接 绑 定 ; 10.0.0.1 CGPv4) 
hy net 
10.0.0.1 
无 


dhy. net 
10.0.0.1 


255.0.0.0 
10.0.0.1 ~ 10.0.0.250 
六 国生 本 人 6 天 ) 


图 6-8 DHCP 服务 器 信息 设置 预览 


(9) 安装 成 功 后 ,将 会 出 现 图 6-9 所 示 的 界面 ,表示 安装 成 功 。 
完成 以 上 的 操作 后 ,我们 的 DHCP 服务 器 将 可 以 提供 以 下 服务 功能 : DHCP 客户 端 可 
以 从 DHCP 服务 器 上 自动 获取 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 的 相关 信息 。 6 
章 
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叫 ES 自动 更 新 。 若 要 安装 最 新 更 新 ， 请 使 用 “控制 面板 ”中 的 Yindows Update 
DHCP 服务 器 加 支 装 成 功 


oes0) | Tm | 几 关 闭 困 和 取消 
图 6-9 DHCP 服务 器 安装 成 功 提示 


2. 配置 DHCP 客户 端 
以 Windows 7 为 例 , 在 “控制 面板 ”中 单 击 * 网 络 和 Internet\ 网 络 和 共享 中 心 ”选择 “本 
地 连接 ”选项 ,在 弹出 的 对 话 框 中 单 击 “ 属 性 ”按钮 ,打开 “本 地 连接 属性 ”对 话 框 。 然 后 双击 


“Internet 协议 版 本 4CTCP/IP v4) ”选项 ,选中 “自动 获得 IP 地 址 ” 单 选 按钮 ,并 单 击 “ 确 定 ” 
按钮 ,如 图 6-10 所 示 。 


图 自动 获得 IP 地 址 O) 
上 @ 使 用 下 面 的 IF 地 址 G): 
IP 地 址 CI) 


子 网 接 吧 们 
默认 网 关 六) 


图 自动 获得 DRS 服务 器 地 址 B) 
四 使 用 下 面 的 DNS 服务 器 地 址 到 ) 
首选 DRS 服务 器 


备用 INS 服务 器 人 


退出 时 验 证 设置 了 ) 


图 6-10 客户 端 TCP/IP 设置 


提示 : 默认 情况 下 ,计算 机 使 用 的 都 是 自动 获取 IP 地 址 的 方式 ,一 般 无 须 进行 修改 ,只 
需 检 查 一 下 就 行 了 。 

至 此 ,DHCP 服务 器 端 和 客户 端 已 经 全 部 设置 完成 了 。 在 DHCP 服务 器 正常 运行 的 情 
况 下 ,首次 开机 的 客户 端 会 自动 获取 一 个 IP 地 址 并 拥有 八 天 的 使 用 期 限 。 

客户 端 查 看 获取 IP 情况 的 方法 : 选择 “开始 ”>“ 运 行 ”命令 ,输入 cmd, 单 击 “ 确 定 ” 按 
钮 。 在 出 现 的 命令 提示 符 窗 口中 输入 ipconfig/all, 按 回 车 键 , 即 可 看 到 所 获得 的 IP 地 址 ， 
如 图 6-11 所 示 。 


Adninistrator>ipconf ig 


Windows IP 配置 


: IntelCR> AT1BBB MT Network Connection 
: 80-8C-29 E2-3D 


:1de@:baal:fcchx11¢ 


: B.9.8.B 
16.0.8.1 
@.1 


DUID 时 52-E9-BB-B 


: 19.8.9.1 


图 6-11 客户 端 获得 IP 地 址 情况 


同时 ,在 DHCP 服务 器 上 ,也 能 看 到 IP 分 配 情况 ,如 图 6-12 所 示 。 


文件 FE) 操作) 查看 VW) 帮助 00 


涌 王 地 址 名 称 3 
10.0.0.1 BAD_ADDRESS 2013/9/3 22 
避 10.0.0.2 CLNT. dhynet. com C2013/9/9 21 


日 向 作用 域 [10.0.0.0] & 
闻 地 址 池 
困 地 十 租用 
日 醒 保留 
锯 作用 域 选项 
乓 服务 器 选项 
田 目 IP 


图 6-12 DHCP 服务 器 上 的 IP 分 配 情况 
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注 : 其 中 的 bad address 是 因为 10. 0.0. 1 已 经 手动 分 配给 DHCP 服务 器 了 ,无 法 再 被 
分 配 导 致 的 ,不 影响 使 用 。 

3. 作用 域 选 项 的 修改 

现在 已 经 完成 了 自动 分 配 IP 的 任务 ,客户 端 已 经 可 以 自动 获取 相关 IP 信息 及 其 他 相 
关 信 息 。 如 果 由 于 网 关 IP 变化 或 DNS 服务 器 IP 变化 ,需要 重新 发 布 这 些 信息 ,需要 如 何 
做 呢 ? 这 个 功能 要 由 DHCP 中 的 作用 域 选项 来 完成 。 

(1) 选择 “开始 ”一 “管理 工具 ”>DHCP 选项 ,打开 DHCP 服务 器 管理 界面 。 在 DHCP 
服务 器 管理 界面 , 单 击 服务 器 前 的 十 号 ,展开 服务 器 列表 ,再 依次 展开 IPv4 和 其 下 的 “作用 
域 " 前 的 十 号 , 单 击 “ 作 用 域 选项 ”选项 ,如 图 6-13 所 示 。 


图 6-13 ”作用 域 选项 信息 


(2) 在 右 侧 窗 格 中 双击 “003 路 由 器 ”选项 ( 即 网 关 ) 或 “006 DNS 服务 器 ”选项 ,在 出 现 
的 对 话 框 中 根据 需要 进行 修改 ,如 路 由 器 地 址 改 为 10. 0. 0. 100, 再 单 击 “ 确 定 ” 按 钮 ,如 图 6-14 
所 示 , 即 完成 了 对 相关 作用 域 选 项 的 设 定 。 


作用 域 选项 


图 6-14 设置 路 由 器 (网 管 ) 信 息 


4. 配置 DHCP 客户 端 保 留 

现在 已 经 完成 了 所 有 客户 端的 需求 ,继续 完成 Web 服务 器 和 FTP 服务 器 的 IP 需求 。 
Web 服务 器 和 FTP 服务 器 需要 每 次 都 获得 同一 个 IP 地 址 ,并 且 固定 为 10. 0. 0. 66 和 
10.0.0.88, 在 DHCP 服务 器 中 ,可 以 使 用 客户 端 保留 功能 来 完成 ,这 个 功能 的 工作 原理 是 
将 IP 地 址 与 客户 端的 网 卡 MAC 地 址 进行 绑 定 , 从 而 达到 指定 的 IP 地 址 专门 留 给 特定 计 
算 机 使 用 的 目的 。 

(1) 在 DHCP 服务 器 管理 界面 , 右 击 “保留 ”选项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 保 
留 " 命 令 。 

(2) 在 弹出 的 “新 建 保 留 ” 对 话 框 中 的 “保留 名 称 ” 文 本 框 中 ,输入 此 保留 的 名 称 , 即 保留 
给 谁 用 。 此 处 输入 “Web 服务 器 ”。 

(3) 在 “IP 地 址 ”文本 框 中 ,输入 要 保留 的 IP 地 址 : 10. 0. 0. 66。 

(4) 在 “MAC 地 址 ”文本 框 中 ,输入 Web 服务 器 的 机 器 网 卡 MAC 地 址 (关于 MAC 地 
址 的 查看 方法 请 参阅 相关 说 明 )。 支 持 类 型 保持 默认 的 “两 者 ” 即 可 ,如 图 6-15 所 示 。 单 击 
“添加 ”按钮 。 


了 xx| 


6-15 ”Web 服务 器 的 保留 IP 


用 同样 的 方法 ,为 FTP 服务 器 添加 保留 IP。 完 成 后 , Web 服务 器 和 FTP 服务 器 的 计 
算 机 IP 地 址 将 永久 固定 为 10. 0. 0. 66 和 10. 0.0. 88 ,如 图 6-16 所 示 。 
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至 此 ,已 经 完成 了 案例 应 用 中 的 需求 : 

(1) 客户 端 能 够 自动 获取 IP 地 址 ; 

(2) 在 获取 IP 地 址 的 同时 ,还 要 能 获得 网 关 的 DNS 的 配置 信息 ; 

(3) Web 服务 器 和 FTP 服务 器 需要 获得 固定 的 IP 地 址 ,即便 是 重启 ,也 能 保证 获得 IP 
地 址 不 变 , 且 这 两 个 IP 地 址 不 能 被 分 配给 其 他 客户 端 使 用 。 


6.6 练习 案例 
某 公司 准备 在 网 络 中 部 署 IP 地 址 ,公司 准备 使 用 192. 168. 1.0 这 个 C 类 的 IP 网 络 , 公 


司 每 个 办 公 室 有 10 台 计 算 机 ,将 来 准备 扩展 为 20 台 ,而 公司 目前 有 6 个 办 公 室 。 请 确定 应 
该 使 用 怎样 的 子 网 掩 码 。 


6.7 课 后 习题 


1. 192. 168. 1. 0/24 使 用 掩 码 255. 255. 255. 240 划分 子 网 ,其 可 用 子 网 数 为 ( ) ,每 
个 子 网 内 可 用 主机 地 址 数 为 ( 》。 


A. 14 14 B. 16 14 C. 254 6 D. 14 62 
2. B 类 地 址 子 网 掩 码 为 255. 255. 255. 248, 则 每 个 子 网 内 可 用 主机 地 址 数 为 ( Ns 
A. 10 B. 8 (9 D. 4 
3. 对 于 C 类 IP 地址 , 子 网 掩 码 为 255. 255. 255. 248, 则 能 提供 子 网 数 为 ( ji 
A. 16 B. 32 C. 30 D. 128 
4. IP 地 址 219. 25. 23. 56 的 默认 子 网 掩 码 有 ( ) 位 。 
A. 8 B. 16 人 4 D32 


5. 某 公司 申请 到 一 个 C 类 IP 地 址 ,但 要 连接 6 个 子 公司 ,最 大 的 一 个 子 公司 有 26 台 
计算 机 ,每 个 子 公司 在 一 个 网 段 中 , 则 子 网 掩 码 应 设 为 ( )。 
A. 255. 255. 255. 0 B. 255.255. 255. 128 
C. 255.255. 255. 192 D. 255. 255. 255. 224 
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7.1 导语 : 为 什么 要 使 用 域名 服务 器 


在 Internet 中 ,任何 计算 机 要 与 其 他 计算 机 通信 ,都 必须 有 IP 地 址 ,通信 的 双方 是 靠 IP 
地 址 来 识别 对 方 和 标示 自己 。 当 我 们 浏览 网 页 .访问 FTP 服务 器 时 ,从 某 种 意义 上 说 ,要 知 
道 网 页 或 者 FTP 服务 器 所 在 的 IP 地 址 才能 访问 。 这 对 于 人 来 说 ,是 个 问题 ,因为 人 的 记忆 
能 力 有 限 ,IP 地 址 又 不 太 好 记 ,IP 地 址 的 数量 又 极其 庞大 。 怎 么 解决 这 个 问题 呢 ? 

人 记忆 有 意义 的 名 称 相 对 容易 。 如 果 能 把 不 好 记忆 的 IP 地 址 转换 为 好 记 的 名 称 ,这 个 
问题 也 就 解决 了 。 域 名 服务 系统 就 是 来 解决 这 个 问题 的 。 域 名 服务 系统 (Domain Name 
Service, DNS) 把 域名 和 IP 地 址 对 应 起 来 ,人 们 只 要 记 住 好 记 的 域名 ,在 浏览 器 中 输入 域名 ， 
DNS 负责 把 域名 转换 为 IP 地 址 (这 个 过 程 叫 作 域名 解析 ) ,这 样 就 解决 了 IP 地 址 不 好 记忆 
的 问题 。 比 如 ,119.75.219.38, 这 个 IP 地 址 不 好 记 , 不 要 紧 , 记 住 www. sohu. com 就 行 了 ， 
119.75. 219. 38 就 是 www. sohu. com 的 IP 地 址 。 


7.2 域 名 


网 络 是 基于 TCP/IP 协议 进行 通信 和 连接 的 ,每 一 台 主 机 都 有 一 个 唯一 的 标识 固定 的 
IP 地 址 。 网 络 中 的 地 址 方案 分 为 两 套 : IP 地 址 系统 和 域名 地 址 系统 。 这 两 套 地 址 系统 其 
实 是 一 一 对 应 的 关系 。 由 于 IP 地 址 是 数字 标识 ,使 用 时 难以 记忆 和 书写 ,因此 在 IP 地 址 的 
基础 上 又 发 展 出 一 种 符号 化 的 地 址 方案 ,来 代替 数字 型 的 IP 地址 。 每 一 个 符号 化 的 地 址 都 
与 特定 的 IP 地 址 对 应 ,这 样 网 络 上 的 资源 访问 起 来 就 容易 得 多 了 。 这 个 与 网 络 上 的 数字 型 
IP 地 址 相对 应 的 字符 型 地 址 ,就 被 称 为 域名 。 域 名 (Domain Name) ,是 由 一 串 用 点 分 隔 的 
名 字 组 成 的 Internet 上 某 一 台 计 算 机 或 计算 机 组 的 名 称 , 用 于 在 数据 传输 时 标识 计算 机 的 
电子 方位 (有 时 也 指 地 理 位 置 )。 域 名 是 一 个 IP 地 址 上 有 “面具 ”。 一 个 域名 的 目的 是 便于 
记忆 和 沟通 的 一 组 服务 器 的 地 址 (网 站 、 电 子 邮 件 、.FTP 等 )。 

可 见 域名 就 是 上 网 单位 的 名 称 , 是 一 个 通过 计算 机 接 入 网 络 的 单位 在 该 网 中 的 地 址 。 
一 个 公司 如 果 希 望 在 网 络 上 建立 自己 的 主页 ,就 必须 取得 一 个 域名 ,域名 也 是 由 若干 部 分 组 
成 ,包括 数字 和 字母 。 通 过 该 地 址 ,人 们 可 以 在 网 络 上 找到 所 需 的 详细 资料 。 域 名 是 上 网 单 
位 和 个 人 在 网 络 上 的 重要 标识 ,起 着 识别 作用 ,便于 他 人 识别 和 检索 某 一 企业 、 组 织 或 个 人 
的 信息 资源 ,从 而 更 好 地 实现 网 络 上 的 资源 共享 。 

DNS 最 早 于 1983 年 由 保罗 ， 莫 卡 派 乔 斯 (Paul Mockapetris) 发 明 ; 原始 的 技术 规范 在 
RFC 882 中 发 布 。1987 年 发 布 的 RFC 1034 和 RFC 1035 号 草案 修正 了 DNS 技术 规范 ,并 
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废除 了 之 前 的 RFC 882 和 RFC 883 号 草案 。 
7.2.1 域名 结构 


为 了 更 方便 \ 快 捷 地 定位 到 连接 Internet 上 的 一 台 计 算 机 ,域名 采用 层次 型 结构 。 从 而 
可 以 将 互联 网 上 难以 计算 的 计算 机 的 IP 及 域名 分 别 保存 在 不 同 的 DNS 服务 器 上 ,采用 这 
种 分 层 的 结构 ,大 大 加 快 了 DNS 名 称 解 析 的 速度 。 在 DNS 中 ,域名 的 层次 结构 包括 根 域 、 
顶级 域 二 级 域 . 下 属 子 域 和 主机 等 。 该 层次 结构 类 似 于 一 棵 倒置 的 树 , 最 上 边 的 树 根 就 是 
根 域 , 往 下 依次 是 顶级 域 . 二 级 域 . 三 级 域 等 ,而 树叶 就 是 计算 机 ,如 图 7-1 所 示 。 


Ws oe] 主机 :severj 主机 :severj 
Server1.sales.south. Ws com 


7-1 域名 空 间 的 层次 结构 


在 图 7-1 的 最 上 边 的 黑 点 代表 根 域 ,由 国际 互联 网 络 信息 中 心 (Inter NIC) 负 责 管理 ,该 
机 构 把 域名 空间 各 部 分 的 管理 职责 分 配给 连接 到 Internet 的 各 个 组 织 。 

顶级 域名 又 分 为 两 类 : 一 是 国家 顶级 域名 (national Top-Level Domainnames,nTLDs), 目 
前 200 多 个 国家 都 按照 ISO 3166 国家 代码 分 配 了 项 级 域名 ,例如 中 国 是 cn, 美 国 是 us, 日 
本 是 jp 等 ; 二 是 国际 顶级 域名 (international Top-Level Domain names,iTDs) ,例如 表示 工 
商 企业 的 . com ,表示 网 络 提供 商 的 . net, 表 示 非 营利 组 织 的 .org 等 。 

二 级 域名 是 指 顶 级 域名 之 下 的 域名 ,在 国际 项 级 域名 下 , 它 是 指 域名 注册 人 的 网 上 名 
称 , 例 如 ibm、yahoo、microsoft 等 ; 在 国家 顶级 域名 下 , 它 是 表示 注册 企业 类 别 的 符号 ,例如 
com、edu、gov.net 等 。 在 该 二 级 域名 中 ,各 公司 或 个 人 也 可 根据 各 自 的 情况 划分 下 级 子 域 
或 主机 等 。 如 注册 dhynet. com 后 ,可 在 该 二 级 子 域 下 建立 子 域 south. dhynet. com 等 。 

主机 名 称 就 是 FQDN 中 最 左边 的 部 分 ,代表 某 一 个 组 织 或 公司 内 部 的 具体 某 一 台 
主机 。 

DNS 规定 ,域名 中 的 标号 都 由 英文 字母 和 数字 组 成 ,每 一 个 标号 不 超过 63 个 字符 ,也 
不 区 分 大 小 写字 母 。 标 号 中 除 连 字符 (-) 外 不 能 使 用 其 他 的 标点 符号 。 级 别 最 低 的 域名 写 
在 最 左边 ,而 级 别 最 高 的 域名 写 在 最 右边 。 由 多 个 标号 组 成 的 完整 域名 总 共 不 超过 255 个 
字符 。 

一 些 国 家 也 纷纷 开发 使 用 采用 本 民族 语言 构成 的 域名 ,如 德语 、 法 语 等 。 中 国 也 开始 使 


用 中 文 域名 ,但 可 以 预计 的 是 ,在 中 国 国内 今后 相当 长 的 时 期 内 ,以 英语 为 基础 的 域名 ( 即 英 
文 域名 ) 仍 然 是 主流 。 


7.2.2 注册 域名 


注册 域名 需要 遵循 先 申 请 、 先 注册 的 原则 ,既然 域名 是 一 种 有 价值 的 资源 ,那么 , 它 是 否 
能 够 成 为 知识 产权 保护 的 客体 呢 ? 我 们 认为 ,在 新 的 经 济 环境 下 ,域名 所 具有 的 商业 意义 已 
远 远 大 于 其 技术 意义 ,而 成 为 企业 在 新 的 科学 技术 条 件 下 参与 国际 市 场 竞争 的 重要 手段 , 它 
不 仅 代表 了 企业 在 网 络 上 的 独 有 的 位 置 ,也 是 企业 的 产品 、 服 务 范围 .形象 、 商 誉 等 的 综合 体 
现 ,是 企业 无 形 资产 的 一 部 分 。 同 时 ,域名 也 是 一 种 智力 成 果 , 它 是 有 文字 含义 的 商业 性 标 
记 , 与 商标 、 商 号 类 似 ,体现 了 相当 的 创造 性 。 在 域名 的 构思 选择 过 程 中 ,需要 一 定 的 创造 性 
劳动 ,使 得 代表 自己 公司 的 域名 简洁 并 具有 吸引 力 ,以 便 使 公众 熟知 并 对 其 访问 ,从 而 达到 
扩大 企业 知名 度 \ 促 进 经 营 发 展 的 目的 。 可 以 说 ,域名 不 是 简单 的 标识 性 符号 ， 而 生 企 业 而 
誉 的 凝结 和 知名 度 的 表彰 ,域名 的 使 用 对 企业 来 说 具有 丰富 的 内 涵 , 远 非 简 单 的 “标识 ”二 

可 以 穷尽 。 因此 ,不 论 闪 术 站 二 是 实际 部 门 ,大 都 导 向 于 将 寺 名 视 为 企业 知识 产权 客体 的 一 
种 。 而 且 ,从 世界 范围 来 看 ,尽管 各 国立 法 尚未 把 域名 作为 专 有 权 加 以 保护 ,但 国际 域名 协 
调制 度 是 通过 世界 知识 产权 组 织 来 制定 ,这 足以 说 明 人 们 已 经 把 域名 看 作 知 识 产权 的 一 
部 分 。 


7.2.3 申请 步骤 


(1) 准备 申请 资料 : 申请 com 域名 无 须 提供 身份 证 ,营业 执照 等 资料 ; 2012 年 6 月 
3 日 cn 域名 已 开放 个 人 申请 注册 ,申请 需要 提供 身份 证 或 企业 营业 执照 。 

(2) 寻找 域名 注册 网 站 : 由 于 . com、. cn 域名 等 不 同 后 绥 均 属于 不 同 注册 管理 机 构 所 管 
理 , 如 要 注册 不 同 后 级 域名 , 则 需要 从 注册 管理 机 构 寻 找 经 过 其 授权 的 顶级 域名 注册 查询 服 
务 机 构 。 如 com 域名 的 管理 机 构 为 ICANN ,cn 域名 的 管理 机 构 为 CNNIC( 中 国 互 联网 络 
信息 中 心 )。 域 名 注册 查询 注册 商 已 经 通过 ICANN、CNNIC 双重 认证 , 则 无 须 分 别 到 其 他 
注册 服务 机 构 申 请 域名 。 

(3) 查询 域名 : 在 注册 商 网 站 注册 用 户 名 成 功 后 并 查询 域名 ,选择 您 要 注册 的 域名 ,并 
单 击 域名 注册 查询 。 

(4) 正式 申请 : 查 到 想 要 注册 的 域名 ,并 且 确 认 域 名 为 可 申请 的 状态 后 ,提交 注册 ,并 
缴纳 年 费 。 

(5) 申请 成 功 : 正式 申请 成 功 后 , 即 可 开始 进入 DNS 解析 管理 ,设置 解析 记录 等 操作 。 


7.3 域名 解析 


7.3.1 什么 是 域名 解析 


域名 和 网 址 并 不 是 一 回 事 ,域名 注册 好 之 后 ,只 说 明 你 对 这 个 域名 拥有 了 使 用 权 , 如 果 
不 进行 域名 解析 ,那么 这 个 域名 就 不 能 发 挥 它 的 作用 ,经 过 解析 的 域名 可 以 用 来 作为 电子 邮 
箱 的 后 级, 也 可 以 用 来 作为 网 址 访问 自己 的 网 站 ,因此 域名 投入 使 用 的 必 备 环节 是 “域名 解 
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析 ”。 我 们 知道 域名 是 为 了 方便 记忆 而 专门 建立 的 一 套 地 址 转换 系统 ,要 访问 一 台 互联 网 上 
的 服务 器 ,最 终 还 必须 通过 IP 地 址 来 实现 ,域名 解析 就 是 将 域名 重新 转换 为 IP 地 址 的 过 
程 。 一 个 域名 只 能 对 应 一 个 IP 地 址 ,而 多 个 域名 可 以 同时 被 解析 到 一 个 IP 地 址 。 

域名 解析 需要 由 专门 的 域名 解析 服务 器 来 完成 ,整个 过 程 是 自动 进行 的 。 

下 面 举 一 个 例子 来 详细 说 明 解 析 域 名 的 过 程 。 假 设 我 们 的 客户 机 想 要 访问 站 点 www. 
163. com, 此 客户 机 本 地 的 域名 服务 器 是 dns. company. com, 一 个 根 域名 服务 器 是 d. root- 
servers. net, 所 要 访问 的 网 站 的 域名 服务 器 是 dns. 163. com, 域 名 解析 的 过 程 如 下 所 示 : 

(1) 客户 机 发 出 请 求解 析 域 名 www. 163. com 的 报 文 。 

(2) 本 地 的 域名 服务 器 收 到 请 求 后 ,查询 本 地 缓存 ,假设 没有 该 记录 , 则 本 地 域名 服务 
器 dns. company. com 向 根 域名 服务 器 d. root-servers. net 发 出 请 求解 析 域 名 www. 163. com。 

(3) 根 域名 服务 器 d. root-servers. net 收 到 请 求 后 会 返回 信息 : 这 个 域名 由 . com 区 域 
管理 ,给 你 c. gtld-servers. net 服务 器 地 址 ,让 你 到 c. gtld-servers. net 去 查询 。 

(4) 本 地 域名 服务 器 dns. company. com 向 c. gtld-servers. net 服务 器 请 求 查询 www. 
163. com 的 地 址 。 

(5) c. gtld-servers. net 收 到 请 求 后 ,查询 本 地 缓存 ,得 到 163. com 主 区域 服 务 器 的 地 
址 ,并 将 该 地 址 返回 给 本 地 域名 服务 器 dns. company. com。 

(6) 本 地 域名 服务 器 dns. company. com 向 163. com 域 服 务 器 请 求 查询 www. 163. 
com 的 地 址 。 

(7) c. gtld-servers. net 收 到 请 求 后 ,查询 得 到 www. 163. com 的 地 址 ,并 将 该 地 址 返回 
给 本 地 域名 服务 器 dns. company. com。 

(8) 本 地 域名 服务 器 将 返回 的 结果 保存 到 本 地 缓存 ,同时 将 结果 返回 给 客户 机 。 这 样 
就 完成 了 一 次 域名 解析 过 程 , 如 图 7-2 所 示 。 


7.3.2 两 种 域名 查询 


域名 查询 可 以 分 为 两 种 类 型 : 递归 查询 和 和 迭代 查询 。 

递归 查询 是 域名 服务 器 将 代替 提出 请 求 的 客户 机 或 下 级 DNS 服务 器 进行 域名 查询 , 若 
域名 服务 器 不 能 直接 回答 , 则 域名 服务 器 会 在 域 的 各 树 中 的 各 分 支 的 上 下 进行 递归 查询 ,最 
终 将 返回 查询 结果 给 客户 机 ,在 域名 服务 器 查询 期 间 ,客户 机 将 完全 处 于 等 待 状态 。 递 归 查 
询 中 DNS 服务 器 只 会 向 提出 请 求 的 客户 机 返回 两 种 信息 : 要 么 是 查找 到 的 IP 地址 ,要 么 
是 查询 失败 。 

主机 向 本 地 域名 服务 器 的 查询 一 般 都 是 采用 递归 查询 。 图 7-2 中 网 络 客户 端 向 本 地 
DNS 服务 器 提交 的 就 是 递归 查询 。 图 7-3 是 一 种 完全 使 用 递归 查询 的 域名 解析 过 程 。 

本 地 域名 服务 器 向 根 域名 服务 器 的 查询 通常 是 采用 迭代 查询 。 当 根 域名 服务 器 收 到 本 
地 域名 服务 器 的 迭代 查询 请 求 报 文 时 ,要 么 给 出 所 要 查询 的 IP 地 址 ,要 么 告诉 本 地 域名 服 
务 器 : 你 下 一 步 应 当 向 哪 一 个 域名 服务 器 进行 查询 。 然 后 让 本 地 域名 服务 器 进行 后 续 的 查 
询 。 图 7-2 中 本 地 域名 服务 器 向 根 域名 服务 器 的 查询 、 向 . com 域名 服务 器 的 查询 、 向 
163. com 域名 服务 器 的 查询 都 是 采用 和 迭代 查询 。 和 迭代 查询 中 DNS 服务 器 会 向 提出 请 求 的 
客户 机 或 下 级 DNS 服务 器 返回 三 种 信息 之 一 : 或 者 查找 到 的 IP 地 址 ,或 者 下 一 步 要 查找 
的 域名 服务 器 的 IP 地 址 ,或 者 是 查询 失败 。 
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图 7-3 完全 使 用 递归 查询 的 域名 解析 


7.4 应 用 案例 1: DNS 服务 器 的 基本 配置 


7.4.1 案例 内 容 


DHY 是 国内 知名 电子 产品 生产 企业 ,公司 主要 生产 移动 存储 、MP3、MP4、 显 卡 、 主 板 
等 电子 产品 。 公 司 正 处 于 快速 成 长 期 ,在 2 一 3 年 中 ,人 员 规 模 从 原先 仅 100 人 的 团队 ,迅速 
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扩张 为 现在 的 800 人 规模 。 随 着 公司 规模 的 扩张 ,公司 加 快 了 信息 化 建设 及 管理 的 步伐 , 先 
后 购置 了 多 台 服 务 器 ,其 中 网 站 服务 器 1 台 ,邮件 服务 器 3 台 , 内 部 OA 服务 器 1 台 ,FTP 服 
务 器 1 台 。 公 司 很 多 业务 都 是 基于 B/S 系统 的 ,相应 的 处 理 服务 器 有 4 台 。 同 时 为 了 公司 
对 外 交流 的 应 用 ,公司 申请 了 dhynet. com 的 域名 ,为 了 更 好 地 进行 集中 化 的 管理 ,公司 决 
定 采用 基于 Windows 活动 目录 的 管理 方式 。 同 时 公司 要 求 做 到 如 下 几 点 : 

(1) 能 为 公司 员工 提供 尽 可 能 简单 的 方法 访问 公司 的 应 用 系统 (大 部 分 是 以 Web 网 站 
的 形式 ) , 当 对 内 提供 服务 的 服务 器 更 换 IP 地 址 的 时 候 , 所 花 的 代价 最 小 。 

(2) 为 了 管理 的 方便 ,公司 需要 使 用 主机 名 称 进 行 相互 的 资源 访问 。 

(3) 应 该 能 够 根据 IP 地 址 情况 查找 到 相应 的 计算 机 的 名 字 。 

(4) 公司 内 部 的 Web 服务 器 名 称 为 www. dhynet. com, 对 应 的 内 部 地 址 为 10. 0. 0. 100， 
FTP 服务 器 名 称 为 ftp. dhynet. com, 对 应 的 内 部 地 址 也 为 10. 0. 0. 100, 邮件 服务 器 为 
email. dhynet. com, 对 应 的 内 部 地 址 为 10. 0. 0. 102,OA 服务 器 的 名 称 为 oa. dhynet. com， 
对 应 的 内 部 地 址 为 10. 0. 0.103。 域 控制 器 的 地 址 为 10. 0. 0. 1。 

(5) 公司 每 天 都 有 大 量 的 邮件 需要 处 理 , 邮 件 服务 也 是 公司 最 主要 及 最 为 繁重 的 业务 ， 
为 了 保证 快速 的 响应 及 可 靠 性 ,公司 目前 共 设立 了 两 台 邮 件 服 务 器 ,名 称 分 别 为 win2k2. 
dhynet. com 和 win2k3. dhynet. com ,对 应 的 IP 地 址 分 别 为 10. 0. 0. 104 和 10. 0. 0. 105 ,并 
且 当 win2k2 无 法 联系 的 时 候 会 自动 切换 到 win2k3 上 工作 。 


7.4.2 案例 分 析 


(1) 在 本 项 目 中 ,为 了 更 好 地 进行 集中 化 的 管理 ,公司 决定 采用 基于 Windows 活动 目 
录 的 管理 方式 。 在 网 络 中 必须 安装 DNS 服务 器 。 

(2) 为 使 公司 能 为 公司 员工 提供 尽 可 能 简单 的 方法 访问 公司 的 应 用 系统 (大 部 分 是 以 
Web 网 站 的 形式 ) , 当 对 内 提供 服务 的 服务 器 更 换 地 址 的 时 候 , 花 的 代价 最 少 ; 为 了 管理 的 
方便 ,公司 还 需要 使 用 主机 名 称 进行 相互 的 资源 访问 ; 应 该 能 够 根据 IP 地 址 情况 查找 到 相 
应 的 计算 机 的 名 称 。 而 要 实现 这 些 , 就 必须 要 使 用 DNS 服务 器 的 区 域 及 主机 资源 记录 的 
内 容 。 

(3) 因为 该 公司 每 天 都 有 大 量 的 邮件 需要 处 理 ,需要 构建 邮件 服务 ,为 了 保证 快速 的 响 
应 及 可 靠 性 ,公司 需要 设立 两 台 邮 件 服 务 器 ,需要 对 其 进行 设置 。 


7.4.3 案例 实施 的 条 件 


(1) 安装 Windows Server 2008 R2 操作 系统 的 服务 器 一 台 ,该 服务 器 配置 有 固定 IP 地 
址 ,比如 10.0.0. 1; 

(2) 安装 客户 端 一 台 , 操 作 系统 可 以 使 用 Windows 7 或 其 他 ,用 来 验证 域名 服务 器 的 
配置 ; 

(3) 服务 器 和 客户 端 网 络 连 通 。 


7.4.4 案例 实施 过 程 


1. DNS 服务 器 的 安装 及 配置 
(1) 首先 按照 图 7-4, 将 服务 器 计算 机 的 IP 地 址 设置 为 10. 0.0.1, 并 完成 相应 “ 子 网 掩 


码 ” 及 “首选 DNS 服务 器 ”的 设置 。 

(2) 单 击 “开始 ?按钮 ,选择 “管理 工具 ”~ 服务 器 管理 器 ?选项 ,如 图 7-5 所 示 。 

(3) 在 “服务 器 管理 器 ?对 话 框 中 , 单 击 * 角 色 ? 选 项 。 

(4) 在 如 图 7-6 所 示 的 对 话 框 中 ,在 右 侧 的 “角色 摘要 ”处 单 击 “ 添 加 角色 ”选项 ,在 弹出 
的 “添加 角色 向 导 ” 对 话 框 中 ,选中 “DNS 服务 器 ” 复 选 框 ,然后 单 击 “ 下 一 步 ”按钮 ,如 图 7-7 
所 示 。 
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图 7-6 服务 器 管理 器 
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图 7-7 添加 DNS 服务 器 角色 


(5) 在 弹出 的 “添加 角色 向 导 ” 对 话 框 中 ,查看 显示 内 容 并 单 击 “下 一 步 ” 按 钮 ,然后 在 
“确认 ” 步 又 中 , 单 击 “ 安 装 ”按钮 。 接 下 来 进入 到 “添加 角色 向 导 ” 的 “进度 ”步骤 ,等 待 DNS 角 
色 安 装 完成 ; 在 “添加 角色 向 导 ” 的 “结果 ” 步 又 中 , 单 击 “ 关 闭 ” 按 钮 。 在 安装 完成 DNS 服务 后 ， 
打开 “服务 器 管理 器 "选项 ,再 单 击 “ 角 色 ” 选 项 ,查看 DNS 服务 是 否 安装 完成 ,如 图 7-8 所 示 。 
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图 7-8 查看 DNS 服务 器 角色 是 否 安装 成 功 


2. DNS 客户 端的 设置 

DNS 服务 器 配置 完成 后 ,还 需要 对 客户 端 进行 一 定 程 度 的 设置 ,否则 不 能 进行 名 称 解 
析 服 务 。 下 面 将 以 Windows 7 为 例 , 介 绍 客户 端的 配置 方法 。 

(1) 打开 客户 端 计算 机 的 Internet(TCP/IP) 协 议 属性 对 话 框 。 在 “首选 DNS 服务 器 ” 
位 置 添加 刚刚 建立 的 DNS 服务 器 的 IP 地 址 ,如 图 7-9 所 示 。 


jntemet 协议 版 本 4 [CPMIPv4) 履 性 
训 规 
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外 自动 获得 IP 地 址 人 0) 
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IP 地 址 CI): 10.0.0.3 
子 网 搞 码 uD) 255 .255 .255 . 0 
默认 网 关 0) 


自动 获得 DNS 服务 器 地 址 B) 
图 使 用 下 面 的 DNS 服务 器 地 址 下): 
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图 7-9 DNS 客户 端 配置 


(2) 在 企业 网 络 中 ,一 般 的 服务 器 都 是 成 对 出 现 的 ,以 防止 由 于 单 点 故障 导致 网 络 发 生 
故障 的 问题 。 为 此 ,可 能 设置 了 额外 的 DNS 服务 器 ,此 时 可 以 在 “备用 DNS 服务 器 ”处 添加 
备用 DNS 服务 器 IP 地 址 。 同 时 可 以 在 图 7-10 中 设置 更 多 的 可 以 使 用 的 DNS 服务 器 。 

需要 特别 注意 的 是 ,只 有 当主 DNS 服务 器 不 能 联系 的 时 候 , 才 会 去 查找 辅助 DNS 服务 
器 ,而 不 论 辅助 DNS 服务 器 是 否 能 够 解析 。 也 就 是 说 ,当主 DNS 服务 器 不 能 对 一 个 域名 进 
行 解析 ,尽管 辅助 DNS 服务 器 可 以 做 到 ,但 是 当主 DNS 服务 器 可 用 时 ,将 不 会 去 查找 辅助 
DNS 服务 器 。 
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图 7-10 DNS 客户 端 配置 


(3) 在 客户 端 计算 机 的 命令 提示 符 下 输入 nslookup 命令 ,来 查看 是 否 设 置 成 功 。 
Address 位 置 出 现 设置 的 DNS 服务 器 地 址 10. 0. 0. 1 的 时 候 , 证 明 已 经 设置 完毕 了 。 


现在 的 DNS 服务 器 没有 做 更 多 的 设置 ,所 以 无 法 进行 其 他 的 测试 ,如 图 7-11 所 示 。 


[版 本 6.1.?688] 
《c》2989 Microsoft Corporation。 


dministrator>nslookup 
t timed out. 

t was 2 seconds. 

: Unknown 


-8-6-1 


图 7-11 DNS 客户 端 测试 


3. 区 域 的 建立 及 建立 主机 资源 记录 


当 在 
由 于 


建立 好 DNS 服务 器 后 ,第 一 步 要 做 的 就 是 创建 区 域 。 回 顾 一 下 DNS 的 架构 图 ,可 以 发 
现 区 域 是 域名 称 空间 的 一 个 划分 ,DNS 服务 器 对 该 名 称 空间 解析 DNS 查询 时 有 权威 性 。 
可 以 将 DNS 名 称 空间 划分 为 区 域 ,这 些 区 域 存储 一 个 或 多 个 DNS 域 或 部 分 DNS 域 的 名 称 
信息 ,一 个 区 域 对 于 该 区 域 中 包含 的 每 个 DNS 域名 是 权威 的 信息 来 源 。 创 建 区 域 分 为 创建 
正 向 查找 区 域 和 反 向 查找 区 域 。 区 域 类 型 又 分 为 3 种 类 型 的 区 域 : 主要 区 域 . 辅 助 区 域 及 


存根 区 域 。 
(1) 正 向 查找 区 域 : 根据 已 知 的 域名 解析 相应 的 IP 地 址 。 
(2) 反 向 查找 区 域 : 根据 已 知 的 IP 解析 相应 的 域名 。 


主要 区 域 : 用 来 存储 此 区 域内 所 有 记录 的 正本 。 当 建立 了 主要 区 域 后 ,就 可 以 对 该 区 
域内 的 记录 进行 添加 、 修 改 、 删 除 等 操作 ,区 域内 的 记录 存储 在 文件 或 者 活动 目录 数据 库 中 。 

如 果 DNS 服务 器 是 独立 服务 器 或 成 员 服 务 器 , 则 区 域内 的 记录 将 保存 在 名 为 “区 域名 
称 . dns” 的 区 域 文件 内 ,该 文件 符合 标准 DNS 格式 ,也 即 可 以 在 多 种 不 同 的 系统 内 通过 更 改 
文件 后 绥 的 形式 进行 简单 互 换 。 

如 果 DNS 服务 器 同 活动 目录 服务 器 进行 了 集成 ,那么 还 可 以 有 另外 一 种 存储 的 形式 ， 
区 域内 的 记录 可 以 存放 在 活动 目录 数据 库 内 , 随 活动 目录 数据 库 的 复制 而 自动 复制 。 

辅助 区 域 : 是 从 某 一 个 主要 区 域 DNS 服务 器 复制 其 区 域 记 录 , 记 录 是 只 读 的 ,不 能 进 
行 添加 及 修改 的 操作 ,仅仅 是 能 提供 解析 ,以 分 担 主要 区 域 DNS 服务 器 的 解析 负担 。 

例如 ,test. net 域 有 3 台 DNS 服务 器 负责 解析 (' 二 ' 代 表 复 制 方向 ): 


dns01 > dns02 > dns03 


那么 

。 dns01 是 主要 区 域 的 DNS 服务 器 ,其 记录 是 可 读 可 写 的 。 

。 dns02 是 辅助 区 域 的 DNS 服务 器 ,其 记录 是 只 读 的 ,其 主 控 DNS 就 是 dns01。 

。 dns03 是 辅助 区 域 的 DNS 服务 器 ,其 记录 是 只 读 的 ,其 主 控 DNS 就 是 dns02。 

在 Windows Server 2008 DNS 服务 的 默认 配置 下 ,DNS 辅助 区 域 会 在 无 法 联系 到 其 主 
控 DNS 的 24 小 时 之 后 ,停止 域名 解析 工作 。 

用 一 个 比喻 来 说 : 辅助 区 域 就 像 经 理 安排 了 经 理 助 理 ,其 助理 只 能 分 担 其 工作 ,但 不 能 
代表 经 理 决策 。 

下 面 创建 主要 区 域 ， 

(1) 在 服务 器 管理 器 控制 台中 ,选择 “角色 ”一 “DNS 服务 器 ”>DNS 选项 , 右 击 * 正 向 查 
找 区 域 ”选项 ,从 快捷 菜单 中 选择 “新 建 区 域 ” 命 令 , 如 图 7-12 所 示 。 
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图 7-12 创建 主要 区 域 
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(2) 在 “新 建 区 域 向 导 ? 对 话 框 中 单 击 “下 一 步 "按钮 ,并 在 出 现 的 “区 域 类 型 窗 格 中 选 
中 “主要 区 域 ” 单 选 按钮 ,然后 单 击 “ 下 一 步 ”按钮 ,如 图 7-13 所 示 。 


新 建 区 域 向 导 


图 7-13 建立 主要 区 域 


(3) 在 “新 建 区 域 向 导 ” 对 话 框 的 “区 域名 称 ” 文 本 框 中 输入 DHY 公司 的 域名 dhynet. 
com, 然 后 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-14 所 示 。 
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图 7-14 区 域名 称 设置 


(4) 如 图 7-15 所 示 ,在 “新 建 区 域 向 导 ? 对 话 框 的 “区 域 文件 ” 窗 格 中 ,按照 默认 设置 即 
可 , 单 击 “ 下 一 步 ” 按 钮 。 如 果 要 使 用 先 有 的 区 域 文件 , 则 需要 先 将 该 文件 复制 到 
%systemroot%\system32\dns 文件 夹 内 ,然后 选择 “使 用 此 现存 文件 ” 单 选 按 钮 。 

(5) 在 “新 建 区 域 向 导 ? 对 话 框 的 “动态 更 新 ” 窗 格 中 设置 动态 更 新 属性 ,此 处 由 于 当前 
DNS 服务 器 没有 与 AD 进行 集成 .所 以 “只 允许 安全 的 动态 更 新 ”选项 为 灰色 的 ,为 了 能 够 
实现 多 台 计 算 机 的 自动 注册 ,选中 “允许 非 安全 和 安全 动态 更 新 ”" 单 选 按钮 ,并 单 击 “ 下 一 步 ” 
按钮 ,如 图 7-16 所 示 。 

(6) 在 “新 建 区 域 向 导 ” 对 话 框 的 “完成 新 建 区域 向 导 ” 步 骤 中 ,仔细 核对 所 做 的 设置 是 


条 建 区 域 向 导 


区 域 文件 
您 可 以 创建 一 个 新 区 域 文件 和 使 用 从 另 一 个 DRS 服务 器 复制 的 文件 。 


图 7-16 动态 更 新 设置 
否 正确 ,如 有 问题 单 击 * 上 一 步 ” 按 钮 返回 上 级 窗口 进行 重新 设 定 ,如 没有 问题 , 单 击 “ 完 成 ” 
按钮 ,结束 主要 区 域 的 创建 ,如 图 7-17 所 示 。 


正在 完成 新 建 区 域 向 导 


您 已 成 功 完 成 了 新 建 区 域 向 导 。 您 指定 了 如 下 设置 : 


要 关闭 此 问 导 并 人 新 区 域 ， 请 单 击 “ 完 成 ”。 


图 7-17 完成 正 向 区 域 设置 
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(7) 在 DNS 管理 控制 台 窗口 中 ,查看 正 向 查找 区 域 中 是 否 已 经 生成 了 我 们 建立 的 主要 
区 域 dhynet. com, 如 图 7-18 所 示 。 
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图 7-18 查看 正 向 查找 区 域 


根据 使 用 场景 的 不 同 ,DNS 服务 器 有 不 同 的 资源 记录 类 型 。 常 见 的 有 如 下 几 种 : 

。 主 机 (A) 一 一 用 于 将 DNS 域名 映射 到 计算 机 使 用 的 IP 地 址 。 

。 别 名 (CNAME) 一 一 用 于 将 DNS 域名 的 别名 映射 到 另 一 个 主要 的 或 规范 的 名 称 。 
别名 资源 记录 有 时 也 称 为 规范 名 称 。 这 些 记录 允许 使 用 多 个 名 称 指向 单个 主机 ,使 
得 某 些 任务 更 容易 执行 。 例 如 在 同一 台 计 算 机 上 维护 FTP 服务 器 和 Web 服务 器 ， 
建议 在 下 列 情况 中 使 用 CNAME 资源 记录 : 在 同一 区 域 的 A 资源 记录 中 指定 的 主 
机 需要 被 重新 命名 时 , 当 用 于 像 WWW 这 样 的 已 知 服务 器 的 通用 名 称 需 要 解析 一 
组 提供 相同 服务 的 单独 计算 机 (每 个 都 有 单独 的 A 资源 记录 ) 时 ,例如 一 组 元 余 
Web 服务 器 。 

。 邮件 交换 器 (MX) 一 一 用 于 将 DNS 域名 映射 为 交换 或 转发 邮件 的 计算 机 的 名 称 。 
它 由 电子 邮件 应 用 程序 使 用 ,用 以 根据 在 目标 地 址 中 使 用 的 DNS 域名 为 电子 邮件 
接收 定位 邮件 服务 器 。 例 如 ,对 名 称 example. microsoft. com 的 DNS 查询 可 能 会 用 
于 寻找 MX 资源 记录 ,允许 电子 邮件 应 用 程序 转发 或 交换 到 电子 邮件 地 址 为 user@ 
example. microsoft. com 的 用 户 。 

。 指针 (PTR) 一 一 用 于 映射 基于 指向 正 向 DNS 域名 的 计算 机 的 IP 地 址 反 向 DNS 域 
名 ,支持 在 in-addr. arpa 域 中 创建 和 确立 的 区 域 的 反 向 搜索 过 程 。 这 些 记录 用 于 通 
过 IP 地 址 定位 计算 机 并 为 该 计算 机 信息 解析 为 DNS 域名 。 

根据 任务 的 要 求 , 需 要 建立 相应 的 主机 记录 、 别 名 记录 、 邮 件 交 换 记 录 及 指针 记录 。 

(1) 打开 “服务 器 管理 器 "控制 台 ,选择 DNS 服务 器 角色 , 右 击 dhynet. com 选项 ,在 弹 


出 的 快捷 菜单 中 选择 “新 建 主机 ”命令 ,如 图 7-19 所 示 。 
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租 与 父 文件 夹 相同 ) ”名 称 服务 器 NS) winrpsigl2fgted 


图 7-19 新 建 主机 


(2) 在 “新 建 主机 ”对 话 框 中 ,在 “名 称 ”文本 框 中 输入 服务 器 的 主机 名 称 www,IP 地 址 
处 输入 10.0.0.100, 完 全 合格 域名 处 将 自动 将 主机 名 添加 到 域名 的 最 左边 ,形成 FQDN 的 
形式 。 单 击 “ 添 加 主机 ”按钮 ,如 图 7-20 所 示 。 然 后 在 弹出 的 DNS 对 话 框 中 , 单 击 “ 确 定 ” 按 钮 。 

(3) 根据 案例 中 的 要 求 , 建 立 相 应 的 mail、oa 的 主机 资源 记录 ,最 后 单 击 “ 完 成 ”按钮 。 
如 图 7-21 所 示 。 


10. 0.0. 102 


到 


图 7-20 添加 主机 记录 图 7-21 添加 主机 记录 


(4) 当 所 有 的 主机 记录 都 添加 完毕 后 ,在 正 向 查找 区 域 dhynet. com 中 将 出 现 相应 的 域 
名 及 IP 的 对 应 关系 ,如 图 7-22 所 示 。 
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7-22 dhynet. com 区 域 的 主机 记录 


(5) 在 企业 的 环境 中 ,Web 服务 器 及 FTP 服务 器 共用 一 个 IP 地 址 10. 0. 0. 100 ,这 种 情 
况 经 常 发 生 , 当 企业 的 服务 承载 量 不 大 的 时 候 ,通常 都 会 将 多 个 服务 集成 在 一 台 服 务 器 上 ， 
为 此 需要 建立 相应 的 别名 记录 。 右 击 dhynet. com 选项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 别 
名 ”命令 ,在 弹出 的 “新 建 资源 记录 ”对 话 框 中 输入 “别名 ”为 ftp, 通 过 单 击 “ 浏 览 ” 按 钮 在 
dhynet. com 区 域 中 找到 www, 然 后 单 击 “确定 ?按钮 ,如 图 7-23 所 示 。 


图 7-23 新 建 别名 记录 


(6) 添加 别名 记录 后 ,dhynet. com 区 域 中 的 记录 如 图 7-24 所 示 。 
(7) 打开 客户 端 , 单 击 “ 开 始 ”一 “运行 ”命令 ,在 “运行 "输入 框 中 输入 cmd, 单 击 “ 确 定 ” 
按钮 。 在 打开 命令 行 窗口 输入 nslookup 命令 ,在 提示 符 下 ,输入 如 下 域名 进行 验证 ,看 


DNS 服务 器 是 否 能 正确 解析 ,如 图 7-25 所 示 。 
(8) 在 测试 命令 界面 ,我 们 发 现 default server: unknown,address 为 10. 0. 0. 1, 这 说 明 


尼 服务 于 管理 赤 
文件 四。 操作 和 查看 WD 帮助 00 


旬 中 | 六 | 而 | 日 G 忆 | 日 | 押 | 引 上 自 本 
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图 7-24 dhynet. com 区 域 中 的 资源 记录 


wuw -dhynet -com 
19.9.9.199 


》mail.dhynet-com 
服务 器 : Unknown 
19.9.9.1 


mail.dhynet-com 
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图 7-25 客户 端 进行 域名 解析 测试 


DNS 服务 器 的 名 称 没 有 正确 解析 ,同时 在 题目 中 要 求 根据 IP 地 址 能 够 解析 出 对 应 的 
FQDN 名 字 ,为 了 完成 该 任务 ,需要 使 用 反 向 查找 来 完成 。 

右 击 “ 反 向 查找 ”区 域 选项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ”命令 ,如 图 7-26 所 示 。 

(9) 根据 向 导 提 示 ,选择 新 建 主 要 区 域 ,在 “ 反 向 查找 区 域名 称 ” 窗 格 中 选择 “新 建 区 
域 ”, 在 “ 反 向 查找 区 域名 称 ” 窗 格 中 的 “网 络 ID” 处 填 入 公司 服务 器 所 用 IP 地 址 的 网 络 地 址 
10.0.0, 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-27 所 示 。 

(10) 创建 区 域 文件 ,并 配置 动态 更 新 ,检查 摘要 ,无 误 后 , 单 击 “ 完 成 ”按钮 ,如 图 7-28 
所 示 。 
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网 络 系 统 营 理 


已 服 务 吕 管理 只 


二 每 人 区 二 存 针 有 关 一个 
要 深 加 一 个 新 区 域 ， 请 在 “操作 ”菜单 ， 单 击 “ 新 建 区 域 " 。 


图 7-26 建立 反 向 查找 区 域 


正在 完成 新 建 区 域 向 导 


您 已 成 功 完成 了 新 建 区 域 向 导 。 您 指定 了 如 下 设置 


0.0.10.inraddr arpa 


标准 主要 区 域 


) 件 名 : 0.0.10. Sh arpa dns 加 
尖 直 Rs 


要 关闭 此 向 导 并 创建 新 区 域 ， 请 单 击 “ 完 成 ”。 


7-27 反 向 查找 区 域 


7-28 反 向 查找 区 域 摘要 信息 


(11) 建立 完 反 向 查找 区 域 后 ,在 “服务 器 管理 器 "控制 台中 的 DNS 角色 中 ,将 出 现 如 
图 7-29 所 示 信 息 。 
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7-29 反 向 查找 区 域 信息 


(12) 为 了 实现 根据 IP 地 址 解析 域名 ,需要 在 反 向 查找 区 域 中 为 服务 器 建立 指针 记录 。 

右 击 “ 反 向 查找 区 域 ?选项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 指针 ”命令 ,如 图 7-30 所 示 。 
ETEE /91x| 
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图 7-30 ”建立 指针 记录 


(13) 在 “新 建 资源 记录 ”对 话 框 中 的 “主机 IP 地 址 ?位 置 输入 Web 服务 器 的 主机 地 址 
10.0.0.100, 然 后 通过 单 击 “ 浏 览 ” 按 钮 ,在 dhynet. com 域 中 找到 对 应 的 FQDN 名 , 单 击 “ 确 
定 ” 按 钮 ,如 图 7-31 所 示 。 

(14) 使 用 同样 的 方法 ,将 OA .E-mail 等 服务 器 的 指针 记录 建立 完毕 ,如 图 7-32 所 示 。 
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图 7-32 在 区 域 10. 0. 0 中 建立 的 指针 记录 


(15) 通过 客户 端 计算 机 运行 nslookup 命令 ,测试 建立 的 反 向 指针 记录 ,看 能 够 进行 正 


确 的 解析 ,如 图 7-33 所 示 。 
4. 邮件 交换 记录 的 建立 及 优先 级 的 设置 
根据 案例 的 要 求 ,需要 为 该 公司 的 邮件 服务 器 建立 相应 的 邮件 交换 记录 ,同时 对 存在 的 


两 台 邮 件 服 务 器 进行 优先 级 的 容错 设置 。 
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图 7-33 指针 记录 的 测试 


(1) 先 要 保证 在 dhynet. com 域 中 存在 win2k2 和 win2k3 的 主机 记录 ,然后 在 dhynet. 
com 域 中 建立 MX 记录 , 右 击 dhynet com 区 域 ,在 弹出 的 快捷 菜单 中 选择 “新 建 邮件 交换 
器 ”命令 ,弹出 “新 建 资源 记录 ”对 话 框 。 在 该 对 话 框 中 单 击 “浏览 ”按钮 ,在 dhynet. com 区 
域 中 找到 win2k2 的 主机 记录 。 邮 件 服务 器 优先 级 采用 默认 设置 ,如 图 7-34 所 示 。 
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图 7-34 新 建 mx 记录 


(2) 根据 上 步 的 内 容 完 成 win2k3 主机 的 mx 记录 的 添加 ,在 优先 级 处 确保 win2k3 的 
优先 级 数字 大 于 win2k2 服务 器 的 优先 级 数字 ,此 处 填写 30。 在 DNS 中 ,mx 记录 的 优先 级 
数字 越 大 , 则 该 服务 器 的 优先 级 越 低 ; 数字 越 小 ,优先 级 越 大 ,0 为 最 大 优先 级 。 通 过 设置 


域名 服务 管理 


才 4 加 


网 络 系 统 营 理 


优先 级 从 而 满足 了 当 win2k2 离线 时 ,win2k3 能 自动 接替 邮件 服务 器 的 工作 ,保证 该 公司 邮 
件 服务 的 正常 运行 。 配 置 好 后 的 区 域 配置 如 图 7-35 所 示 。 
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7-35 ”建立 不 同 优先 级 的 mx 记录 


通过 上 述 内 容 的 设置 , 便 完成 了 案例 中 的 任务 ,同时 也 能 掌握 DNS 服务 器 最 基本 及 最 
常用 的 配置 过 程 和 配置 方法 。 


7.5 应 用 案例 2: 创建 DNS 辅助 区 域 


7.5.1 案例 内 容 


DHY 公司 在 市 场 竞 争 中 取得 了 较 快 的 发 展 ,吞并 了 CISCONET 公司 ,为 了 保持 原 有 
的 网 络 架 构 , 该 整合 后 的 公司 保留 了 两 个 公司 原 有 的 区 域名 称 ,分 别 是 dhynet. com 和 
cisconet. com, 为 了 保证 该 公司 网 络 的 高 效 及 可 利用 性 ,每 个 区 域 放 置 了 1 台 DNS 服务 器 ， 
同时 为 了 保证 总 公司 的 可 靠 性 ,对 cisconet. com 域 的 DNS 服务 器 建立 了 备份 DNS 服务 器 。 

你 需要 完成 如 下 工作 : 

(1) 规划 现 有 公司 的 DNS 体系 架构 。 

(2) dhynet. com 域 中 DNS 服务 器 的 IP 地 址 是 10. 0. 0. 1,cisconet. com 域 中 的 DNS 
服务 器 地 址 是 10. 0. 0. 222, 备 份 DNS 服务 器 的 IP 地 址 为 10. 0. 0. 2。 

(3) 配置 dhynet. com 的 区 域 ,以 便 主机 能 够 每 10 天 更 新 一 次 各 自 的 记录 。 

(4) 配置 dhynet. com 域 ,以 便 没有 经 过 DNS 客户 端 更 新 的 记录 在 20 天 后 从 DNS 服 
务 器 上 删除 。 

(5) 清除 备份 DNS 服务 器 上 当前 缓存 的 DNS 名 称 解析 。 

(6) 当 cisconet. com 域 中 的 计算 机 访问 dhynet. com 域 中 的 计算 机 时 ,以 最 快 的 速度 解 
析出 IP 地 址 。 


7.5.2 案例 分 析 


当 采 用 备用 DNS 服务 器 的 时 候 , 需 要 使 用 辅助 区 域 来 建立 辅助 DNS 服务 器 ,并 配置 相 
应 的 区 域 传输 。 对 主机 更 新 的 管理 采用 老化 处 理 。 


7.5.3 案例 实施 的 条 件 


在 应 用 案例 1 的 基础 上 ,添加 一 台 安 装 Windows Server 2008 R2 操作 系统 的 服务 器 ， 
该 服务 器 配置 有 固定 IP 地 址 ,比如 10. 0. 0.2, 并 使 之 与 应 用 案例 1 中 的 服务 器 网 络 连 通 。 


7.5.4 案例 实施 过 程 


1. 建立 辅助 DNS 服务 器 
(1) 在 备份 DNS 服务 器 上 安装 DNS 服务 ,同时 配置 相应 的 IP 地 址 及 DNS 服务 器 的 
IP 地 址 ,如 图 7-36 所 示 。 


Internet 协议 版 本 4 (TCP/TIPv4) 民 性 


图 7-36 辅助 DNS 服务 器 的 TCP/IP 属性 设置 


(2) 在 备份 DNS 服务 器 上 打开 服务 器 管理 控制 台 ,选择 DNS 角色 ,创建 区 域 ,在 “新 建 
区 域 向 导 ? 对 话 框 选择 “辅助 区 域 " 单 选 按钮 ,如 图 7-37 所 示 。 


地 说 趴 


7-37 辅助 区 域 的 建立 
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(3) 在 “区 域名 称 ” 文 本 框 中 填 入 要 复制 的 主要 区 域 的 DNS 区 域名 称 , 此 处 为 dhynet. 
com, 如 图 7-38 所 示 。 


新 建 区 域 向 导 


图 7-38 设置 要 复制 的 区 域名 称 


(4) 在 “ 主 DNS 服务 器 ” 窗 格 中 , 单 击 提示 区 域 并 填写 要 复制 区 域 的 主 DNS 服务 器 的 
IP 地址 ,此 处 为 10.0. 0.1, 设 置 完成 后 , 单 击 * 下 一 步 " 按 钮 ,如 图 7-39 所 示 。 在 “新 建 区 域 
向 导 ” 对 话 框 的 “正在 完成 新 区 域 向 导 " 窗 格 中 ,查看 摘要 ,确认 无 误 后 , 单 击 “ 完 成 "按钮 。 


新 建 区 域 向 导 


主 DNS 服务 器 
辅助 区 域 从 一 个 或 多 个 的 DRS 服务 器 上 复制 > 


图 7-39 设置 主 DNS 服务 器 的 IP 地 址 


(5) 辅助 DNS 服务 器 设置 完成 后 ,还 不 能 马上 完成 复制 的 实现 ,必须 在 相应 的 主 DNS 
服务 器 上 进行 相应 的 设置 。 在 主 DNS 服务 器 上 打开 DNS 管理 控制 台 ,确保 有 辅助 DNS 服 
务 器 的 主机 记录 ,如果 辅助 DNS 服务 器 没有 动态 注册 进来 , 则 可 以 采用 手动 添加 一 条 静态 
记录 的 方法 ,如 图 7-40 所 示 。 

(6) 配置 了 资源 记录 后 ,必须 要 做 的 是 启用 主 DNS 服务 器 的 区 域 复制 功能 。 在 
dhynet. com 区 域 右 击 ,选择 “属性 ”命令 .在 打开 的 属性 对 话 框 中 ,选择 “区 域 传送 ”选项 卡 ， 


臣服 务 叶 管理 中 


回国 后 向 查找 区 域 
加 国 条 件 转发 


图 7-40 主 DNS 服务 器 的 区 域 中 应 该 有 辅助 DNS 服务 器 的 主机 记录 


确保 “允许 区 域 复制 " 复 选 框 被 选中 ,并 选中 “只 允许 到 下 列 服务 器 " 单 选 按 钮 ,如 图 7-41 所 
示 。 然 后 单 击 “编辑 ?按钮 ,在 “允许 区 域 传送 ?对 话 框 中 , 单 击 提示 区 域 并 添加 许可 传送 的 备 
用 DNS 服务 器 地 址 ,此 处 是 10. 0. 0. 2。 


7-41 区域 复 制 选项 卡 的 设置 


(7) 设置 完成 后 ,将 显示 如 图 7-42 所 示 对 话 框 。 
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7-42 名 称 服 务 器 的 设置 


(8) 在 辅助 DNS 服务 器 的 dhynet. com 区 域 上 右 击 ,选择 “从 主 服务 器 复制 ”命令 ,完成 
辅助 DNS 服务 器 的 数据 复制 过 程 。 

2. 老化 和 清理 的 设置 

要 完成 主机 记录 的 更 新 ,需要 配置 DNS 服务 器 的 老化 和 清理 选项 。 

(1) 在 dhynet. com 域 的 DNS 服务 器 上 右 击 ,选择 “为 所 有 区 域 设 置 老化 /清理 ”命令 ， 
如 图 7-43 所 示 。 


图 7-43 打开 老化 清理 


(2) 在 “服务 器 老化 /清理 属性 ?对 话 框 中 ,按照 要 求 将 无 刷新 间隔 和 刷新 闻 隔 均 设 置 为 
10 天 ,同时 选中 “清除 过 时 资源 记录 ” 复 选 框 ,如 图 7-44 所 示 。 


服务 器 老 化 /清理 属性 


图 7-44 设置 刷新 时 间 


(3) 为 了 马上 清除 缓存 资源 ,可 以 在 服务 器 名 称 上 右 击 , 选 择 * 清 除 缓存 ”命令 ,如 图 7-45 
所 示 。 
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7-45 ”清除 缓存 


(4) 为 了 能 够 马上 处 理 对 cisconet. com 域 中 的 客户 端 提 供 dhynet. com 域 的 FQDN 的 
解析 ,可 以 使 用 DNS 服务 器 的 转发 器 功能 。 在 dhynet. com 区 域 右 击 ,选择 “属性 ”命令 , 然 
后 在 “属性 ”对 话 框 中 选择 “转发 器 "选项 卡 , 再 单 击 “ 编 辑 ” 按 钮 , 单 击 提示 区 域 输入 要 转发 的 
DNS 服务 器 地 址 ,此 处 添加 10. 0. 0.2。 其 他 选择 默认 设置 ,设置 完成 后 , 单 击 “ 确 定 ” 按 钮 ， 
如 图 7-46 所 示 。 
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图 7-46 转发 器 设置 


7.6 练习 案例 


你 是 公司 的 网 络 管理 员 ,公司 名 为 fabrikam,Inc. ,公司 网 络 由 名 为 fabrikam. com 的 单 
一 active directory 域 组 成 。 

你 在 数据 中 心 一 台新 的 Windows Server 2008 计算 机 上 安装 了 DNS。 将 该 计算 机 命名 
为 serverl ,并 配置 成 具有 IP 地 址 10. 10. 30. 54。 你 在 serverl 上 安装 了 两 个 网 卡 , 并 将 
serverl 配置 成 一 台 域 控制 器 。serverl 有 两 个 网 卡 : 一 个 具有 公用 IP 地 址 ,一 个 具有 专用 
IP 地 址 。 专 用 子 网 是 10. 10. 30. x。 

研发 部 使 用 一 个 名 为 test. local 的 域 , 该 域 存储 在 一 台独 立 UNIX DNS 服务 器 上 。 此 
服务 器 被 配置 成 拥有 IP 地址 10. 10. 50. 100。 

fabrikam,Inc. 与 名 为 contoso, Ltd. 的 公司 合并 。contoso, Ltd. 公司 的 网 络 由 名 为 
contoso. com 的 单一 active directory 域 组 成 。 两 个 域 仍 然 保 持 独 立 。 

你 必须 在 serverl 上 配置 DNS ,确保 能 满足 下 列 要 求 ， 

(1) 来 自 客户 端 计 算 机 对 contoso. com 上 主机 的 名 称 解析 请 求 , 如 被 指派 查询 serverl , 
则 必须 由 contoso. com 域 中 IP 地 址 为 10. 150. 10. 100 的 DNS 服务 器 直接 解析 。 

(2) Serverl 上 必须 有 一 份 test. local 的 安全 副本 。 

(3) 必须 为 10. 10. 30. x 子 网 创建 反 向 查找 区 域 。 该 区 域 必 须 存储 在 Active Directory 
域 中 ,所 有 更 新 都 应 是 安全 的 。 

(4) DNS 服务 器 应 仅 相 应 来 自 专用 网 络 的 请 求 。 


7.7 课 后 习题 


.DNS 有 哪 两 种 查询 方式 ? 
. 什么 是 DNS? 
. DNS 服务 角色 可 以 注册 哪些 记录 类 型 ? 分 别 有 什 么 样 的 作用 ? 
. 列举 主要 的 DNS 顶级 域名 并 说 出 其 中 文 含义 。 
. 简 述 区 域 复制 的 作用 和 目的 。 
. 简 述 客户 端 向 本 地 网 络 中 DNS 服务 器 发 出 查询 www. dhynet. com 主机 IP 地 址 的 
详细 过 程 。 
7. 简 述 如 何 设置 DNS 区 域 复制 。 
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8.1 导语 : 为 什么 要 使 用 Internet 信息 服务 


现代 企业 都 需要 宣传 自己 ,而 互联 网 是 一 个 最 好 的 宣传 平台 ,企业 只 要 在 网 络 发 布 自己 
的 网 站 ,就 可 以 让 全 世界 的 人 来 看 ,从 而 达到 自我 宣传 的 目的 。 并 且 ,在 企业 内 部 ,往往 也 需 
要 有 内 部 网 站 ,进行 企业 内 部 信息 发 布 . 交 流 ,这 都 需要 用 到 应 用 服务 器 中 的 Web 服务 器 。 
另外 ,在 网 络 上 ,还 会 常常 有 文件 资料 ,视频 资料 的 上 传 和 下 载 ,那么 FTP 服务 器 就 是 最 简 
单 有 效 的 文件 上 传 .下载 的 服务 器 ,可 以 完全 满足 这 些 需求 。 

Web 服务 器 也 称 为 WWW(World Wide Web) 服 务 器 ,其 主要 功能 是 提供 网 上 信息 浏 
览 服务 。 它 在 应 用 层 使 用 HTTP 协议 ,对 HTML 文档 格式 提供 支持 ,通过 浏览 器 统一 资源 
定位 符 (Uniform Resource Locator, URL) 进 行 访问 。 

WWW 是 Internet 的 多 媒体 信息 查询 工具 ,是 发 展 最 快 和 目前 应 用 最 广泛 的 服务 。 正 
是 因为 有 了 WWW 工具 , 才 使 得 近年 来 Internet 迅速 发 展 , 且 用 户 数量 飞速 增长 。 

Internet 信息 服务 (英文 简称 IIS, 全 称 为 Internet Information Services) ,是 一 个 World 
Wide Web 服务 器 。IIS 是 一 种 Web( 网 页 ) 服 务 组 件 ,其 中 包括 Web 服务 器 .FTP 服务 器 、 
NNTP 服务 器 和 SMTP 服务 器 ,分别 用 于 网 页 浏览 .文件 传输 .新闻 服务 和 邮件 发 送 等 方 
面 , 它 使 得 在 网 络 ( 包 括 互联 网 和 局 域 网 ] 上 发 布 信息 成 了 一 件 很 容易 的 事 。 


8.2 万 维 网 


8.2.1 简介 


1989 年 仲夏 之 夜 , 蒂 姆 。 伯 纳 斯 。 李 (Tim Berners-Lee) 成 功 开发 出 世界 上 第 一 个 
Web 服务 器 和 第 一 个 Web 客户 机 。1989 年 12 月 , 蒂 姆 为 他 的 发 明正 式 定 名 为 World 
Wide Web, 即 我 们 熟悉 的 WWW。1991 年 5 月 WWW 在 Internet 上 首次 露面 ,立即 引起 黎 
动 , 获 得 了 极 大 的 成 功 并 被 广泛 推广 应 用 。 

国际 互联 网 Internet 在 20 世纪 60 年 代 就 诞生 了 ,为 什么 没有 迅速 流传 开 来 呢 ? 其 实 ， 
很 重要 的 原因 是 因为 联接 到 Internet 需要 经 过 一 系列 复杂 的 操作 ,网 络 的 权限 也 很 分 明 , 而 
且 网 上 内 容 的 表现 形式 极端 单调 枯燥 。Web 通过 一 种 超 文本 方式 ,把 网 络 上 不 同 计算 机 内 
的 信息 有 机 地 结合 在 一 起 ,并 且 可 以 通过 超 文 本 传输 协议 (HTTP) 从 一 台 Web 服务 器 转 到 
另 一 台 Web 服务 器 上 检索 信息 。Web 服务 器 能 发 布 图 文 并 茂 的 信息 ,甚至 在 软件 支持 的 
情况 下 还 可 以 发 布 音 频 和 视频 信息 。 此 外 ,Internet 的 许多 其 他 功能 ,如 E-mail、 Telnet、 


FTP、WAIS 等 都 有 可 通过 Web 实现 。 

万 维 网 是 一 个 资料 空间 。 在 这 个 空间 中 ,一 种 有 用 的 事物 , 称 为 一 种 “资源 ”; 并 且 由 一 
个 全 域 “统一 资源 定位 符 ”(URL) 标 识 。 这些 资 源 通 过 超 文本 传输 协议 (Hypertext 
Transfer Protocol) 传 送 给 使 用 者 ,而 后 者 通过 单 击 链接 来 获得 资源 。 从 另 一 个 观点 来 看 ， 
万 维 网 是 一 个 通过 网 络 存 取 的 互联 超 文件 (Interlinked Hypertext Document) 系 统 。 


8.2.2 万 维 网 的 内 核 


万 维 网 的 内 核 部 分 是 由 三 个 标准 构成 的 : URL .HTTP、HTML。 
统一 资源 定位 符 (Uniform Resource Locator,URL) 也 被 称 为 网 页 地 址 ,是 因特网 上 标 
准 的 资源 的 地 址 。URL 的 一 般 形式 是 : 


<URL 的 访问 方式 >://< 主 机 >:< 端 口 >/< 路 径 > 


URL 的 访问 方式 有 ftp、http 等 ,主机 通常 是 资源 所 在 的 主机 的 域名 ,端口 默认 是 80， 
通常 不 写 , 如 果 不 是 80, 则 不 能 省 略 。 路 径 是 资源 在 主机 中 路 径 。HTTP 是 Hypertext 
Transfer Protocol 的 缩写 , 即 超 文 本 传输 协议 。 顾 名 思 义 , HTTP 提供 了 访问 超 文本 信息 
的 功能 ,是 WWW 浏览 器 和 WWW 服务 器 之 间 的 应 用 层 通信 协议 。HTTP 协议 是 用 于 分 
布 式 协作 超 文本 信息 系统 的 、 通 用 的 、 面 向 对 象 的 协议 。WWW 使 用 HTTP 协议 传输 各 种 
超 文本 页 面 和 数据 。 

HTTP 协议 会 话 过 程 包 括 如 下 4 个 步 又。 

(1) 建立 连接 : 客户 端的 浏览 器 向 服务 端 发 出 建立 连接 的 请 求 , 服 务 端 给 出 响应 就 可 
以 建立 连接 了 。 

(2) 发 送 请 求 : 客户 端 按照 协议 的 要 求 通过 连接 向 服务 端 发 送 自己 的 请 求 。 

(3) 给 出 应 答 : 服务 端 按照 客户 端的 要 求 给 出 应 答 , 把 结果 (HTML 文件 ) 返 回 给 客 
户 端 。 

(4) 关闭 连接 : 客户 端 接 到 应 答 后 关闭 连接 。 

HTTP 协议 是 基于 TCP/IP 之 上 的 协议 , 它 不 仅 保证 正确 传输 超 文本 文档 ,还 确定 传 
输 文档 中 的 哪 一 部 分 ,以 及 哪 部 分 内 容 首先 显示 (如 文本 先 于 图 形 ) 等 。 

超 文本 标记 语言 , 即 HTML(Hypertext Markup Language) ,是 用 于 描述 网 页 文档 的 一 
种 标记 语言 ,是 标准 通用 标记 语言 下 的 一 个 应 用 ,也 是 一 种 规范 ,一 种 标准 , 它 通过 标记 符号 
来 标记 要 显示 的 网 页 中 的 各 个 部 分 。 网 页 文件 本 身 是 一 种 文本 文件 ,通过 在 文本 文件 中 添 
加 标记 符 , 可 以 告诉 浏览 器 如 何 显示 其 中 的 内 容 , 如 文字 如 何 处 理 画面 如 何 安排 .图片 如 何 
显示 等 。 浏 览 器 按 顺 序 阅 读 网 页 文件 ,然后 根据 标记 符 解 释 和 显示 其 标记 的 内 容 。 但 需要 
注意 的 是 ,对 于 不 同 的 浏览 器 ,对 同一 标记 符 可 能 会 有 不 完全 相同 的 解释 ,因而 可 能 会 有 不 
同 的 显示 效果 。 


8.2.3 几 个 概念 


1. 网 页 、 网 页 文件 和 网 站 
网 页 是 网 站 的 基本 信息 单位 ,是 WWW 的 基本 文档 。 它 由 文字 、 图 片 . 动 画 、 声 音 等 多 
种 媒体 信息 以 及 链接 组 成 ,是 用 HTML 编写 的 ,通过 链接 实现 与 其 他 网 页 或 网 站 的 关联 和 
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跳 转 。 

网 页 文件 是 用 HTML 编写 的 ,可 在 WWW 上 传输 ,能 被 浏览 器 识别 显示 的 文本 文件 。 
其 扩展 名 是 . htm 和 . html。 

网 站 由 众多 不 同 内 容 的 网 页 构成 ,网 页 的 内 容 可 体现 网 站 的 全 部 功能 。 通 常 把 进入 网 
站 首先 看 到 的 网 页 称 为 首页 或 主页 (homepage) 。 

2. 万 维 网 .互联 网 和 因特网 

万 维 网 是 无 数 个 网 络 站 点 和 网 页 的 集合 , 它 实 际 上 是 多 媒体 的 集合 ,是 由 超级 链接 连接 
而 成 的 。 我 们 通常 通过 网 络 浏览 器 上 网 观看 的 ,就 是 万 维 网 的 内 容 。 

以 小 写字 母 i 开始 的 internet( 互 联网 或 互连网 ) 是 一 个 通用 名 词 , 它 泛 指 多 个 计算 机 网 
络 互联 而 组 成 的 网 络 ,在 这 些 网 络 之 间 的 通信 协议 ( 即 通信 规则 ) 可 以 是 任意 的 。 

以 大 写字 母 1 开始 的 Internet( 因 特 网 ) 则 是 一 个 专用 名 词 , 它 指 当前 世界 上 最 大 的 、 开 
放 的 、 由 众多 网 络 相 互联 接 而 成 的 特定 计算 机 网 络 , 它 采 用 TCP/IP 协议 族 作为 通信 的 规 
则 , 且 前 身 是 美国 的 ARPANET。 


8.2.4 IIS 概述 


IIS(Internet Information Services,Internet 信息 服务 ) ,是 由 微软 公司 提供 的 ,用 于 配置 应 用 
程序 池 或 Web 网 站 、Ftp 站 点 ,SMTP 或 NNTP 站 点 的 ,基于 MMC(Microsoft Management 
Console) 控 制 台 的 管理 程序 。IIS 是 Windows Server 2008 操作 系统 自 带 的 组 件 , 无 须 第 三 
方程 序 , 即 可 用 来 搭建 基于 各 种 主流 技术 的 网 站 ,并 能 管理 Web 服务 器 中 的 所 有 站 点 。 

JS 是 Windows Server 2008 (2003) 操 作 系 统 集成 的 服务 ,通过 该 服务 可 以 搭建 Web 
网 站 ,与 Internet、Intranet 或 Extranet 上 的 用 户 共享 信息 。 在 Windows Server 2008 企业 
版 中 的 版 本 是 IIS 7. 0,IIS 7. 0 是 一 个 集成 了 IIS、ASP. NET、Windows Communication 
Foundation 的 统一 的 Web 平台 ,可 以 运行 当前 流行 的 .具有 动态 交互 功能 的 ASP. NET 网 
页 。 支 持 使 用 任何 与 . NET 兼容 的 语言 编写 的 Web 应 用 程序 。 

HS 7. 0 提供 了 基于 任务 的 全 新 UI( 用 户 界 面 ) 并 新 增 了 功能 强大 的 命令 行 工具 ,借助 
这 些 工具 可 以 方便 地 实现 对 IIS 和 Web 站 点 的 管理 。 同 时 ,IIS 7.0 引入 了 新 的 配置 存储 和 
故障 诊断 和 排除 功能 。 


8.3 应 用 案例 1: Web 服务 器 的 安装 和 基本 配置 


8.3.1 案例 内 容 


DHY 公司 内 部 网 络 已 经 能 够 正常 使 用 了 , 现 为 了 提高 信息 传达 效率 ,让 员工 能 够 及 时 
了 解 和 掌握 公司 的 信息 ,需要 在 公司 内 部 架设 Web 网 站 ,用 于 发 布 内 部 信息 。 网 站 域名 为 


oa. dhy. com 。 


8.3.2 案例 分 析 


要 架设 网 站 ,购买 服务 器 ,并 安装 适当 的 操作 系统 。 可 以 使 用 微软 公司 的 Windows 
Server 2008 R2 操作 系统 。 该 操作 系统 是 服务 器 版 本 ,内 置 有 IIS 服务 ,能 够 提供 Web 服务 


并 方便 管理 。 
要 使 用 域名 访问 网 站 ,必须 申请 域名 并 正确 配置 。 


8.3.3 案例 实施 的 条 件 


(1) 安装 Windows Server 2008 R2 操作 系统 的 服务 器 一 台 ,将 在 该 服务 器 上 安装 配置 
DNS 服务 ,该 服务 器 配置 固定 IP 地 址 ,比如 10. 0.0.1; 称 此 计算 机 为 S-DNS; 

(2) 安装 Windows Server 2008 R2 操作 系统 的 服务 器 一 台 , 将 在 该 服务 器 上 安装 配置 
Web 服务 ,该 服务 器 配置 固定 IP 地 址 ,比如 10. 0.0.2,DNS 为 10. 0. 0. 1; 称 此 计算 机 为 
S-Web; 

(3) 安装 Windows 7 的 客户 端 一 台 , 用 来 验证 Web 服务 ,可 以 配置 IP 地 址 为 10. 0. 0. 3， 
DNS 为 10.0.0.1; 称 此 计算 机 为 PC-Win7; 

(4) 服务 器 和 客户 端 网 络 均 连 通 ; 

(5) 申请 注册 域名 oa. dhy. com。 

说 明 : 

(1) 如 果 没 有 条 件 准备 足够 多 的 计算 机 ,作为 实验 ,Web 和 DNS 服务 可 以 安装 在 一 台 
计算 机 上 ,这 种 情况 下 DNS 设置 为 本 机 地 址 。 甚 至 ,用 作 验 证 的 客户 端 也 可 以 省 略 , 就 在 
Web 服务 器 上 进行 验证 。 

(2) 如 果 仅仅 在 公司 内 部 局 域 网 内 使 用 ,私自 配置 DNS 也 可 以 ,不 需要 正式 申请 注册 
域名 。 本 章 在 实施 过 程 中 没有 正式 申请 ,是 一 个 假设 的 域名 。 


8.3.4 案例 实施 过 程 


1. 域名 配置 
在 S-DNS 服务 器 中 ,添加 一 条 主机 记录 : 域名 oa. dhy. com,IP 地 址 10. 0. 0.2, 如 图 8-1 所 


文件 @) | 操作) 查看 0) 帮助 00 
和 哆 | 让 加 | 其 辐 汉 | 回 届 | 直 目 已 


目 竹 父 文件 夹 相同 ) 起 始 授权 机 构 (50A) [1], edgeserver, dhyne. . 
田 贺 全 局 日 志 目 与 父 文件 夫 相 同 ) 和 名称 服务 器 QI5) edgeserver. dhynet. con 
日 疾 正 向 查找 区 域 司 区 10.0.0 
dhy. eon 
回国 反 向 查找 区 域 
而 条 件 转 发 器 


图 8-1 添加 Web 主机 记录 


DNS 的 详细 配置 参见 本 书 的 第 7 章 。 

2. 安装 Web 服务 

(1) 在 S-Web 计算 机 上 , 单 击 “开始 ”一 “服务 器 管理 器 ”角色 ”一 添加 角色 ?选项 ， 
在 “开始 之 前 ”页 面 单 击 “ 下 一 步 ? 按 钮 。 

(2) 选中 “Web 服务 器 (IIS)” 复 选 框 ,在 弹出 窗口 中 单 击 * 添 加 必需 的 功能 ?按钮 ,如 
图 8-2 所 示 。 单 击 3 次 “下 一 步 ” 按 钮 , 单 击 “ 安 装 ” 按 钮 。 
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Dep 是 否 添加 web 服务 器 (IIS) 所 需 的 功能 ? 
名 人 YWeb 服务 器 IIS), 除 丰 已 安装 所 需 的 功能 。 


一 人 人 Yindows Process Activation Service 
加 vps 和 村 型 整合 了 IIS 进程 模型， 取消 了 对 I 人 
加 秆 KI 的 依 爆 。 前 吕 能 … 


图 8-2 添加 Web 角色 


3. 验证 Web 服务 安装 是 否 成 功 

安装 完成 后 ,在 S-Web 计算 机 上 ,请 通过 单 击 “开始 "一 “管理 工具 一“Internet 信息 服 
务 (11S) 管 理 器 "选项 的 方法 来 管理 IIS 网 站 。 如 图 8-3 所 示 为 HS 管理 器 的 界面 ,其 中 已 经 
有 一 个 名 为 Default Web Site 的 内 置 网 站 。 


8-3 初 安装 好 之 后 的 IIS 管理 器 


接 下 来 测试 网 站 运行 是 否 正常 。 在 PC-win7 计算 机 中 ,打开 浏览 器 ,输入 地 址 http:// 
oa. dhy. com, 或 者 http://10.0.0.2, 如 果 出 现 如 图 8-4 所 示 的 画面 ,表示 Web 服务 正常 。 
如 果 不 能 显示 如 图 8-4 所 示 的 网 页 ,请 检查 网 络 是 否 连通 ,域名 解析 是 否 正常 ,网 站 安装 、 拼 
写 错误 等 。 


从 MK 大 严 | 次 目 建 汉 网 站 ”站 ] 网 页 快 和 车 
us7 [| 全 -四 7 口 御 ”mp)。 安 2(9)> 


图 8-4 IIS 7.0 默认 网 站 页 面 


4. 网 站 基本 配置 

刚 安装 好 的 网 站 并 不 是 我 们 需要 的 网 站 ,必须 适当 配置 才能 满足 应 用 需求 。 首 先 要 配 
置 的 是 使 显示 的 网 页 是 实际 要 求 的 网 页 。 这 需要 配置 网 页 存储 路 径 和 默认 首页 。 

打开 记事 本 ,输入 如 下 内 容 : 

< htm]l > 

< head > 

OA 系统 

</head> 

<br> 

<body> 

这 是 公司 的 0A 系统 

</body> 

</html > 


将 文件 保存 并 命名 为 default. html, 注 意 后 缀 名 应 改 成 . html。 假 设 保持 路 径 为 c:\oa。 
你 也 可 以 创建 其 他 内 容 的 html 文件 ,但 要 命名 为 default. html。 在 下 面 的 实验 中 ,假设 
default. html 是 公司 的 主页 。 

打开 Internet 信息 服务 (IIS) 管 理 器 , 单 击 * 连 接 ” 窗 格 中 的 Default Web Site 选项 ,再 单 
击 “ 操 作 ” 窗 格 中 的 “基本 设置 "按钮 ,弹出 “编辑 网 站 ”窗口 ,如 图 8-5 所 示 。 

在 图 8-5 中 ,物理 路 径 就 表示 网 页 文件 所 存放 的 路 径 。 默 认 的 是 % SystemDrive%A\ 
inetpub\wwwroot, 其 中 % SystemDrive% 表示 安装 操作 系统 Windows 的 磁盘 ,一 般 是 C 
盘 。 在 %SystemDrive%\inetpub\wwwroot 目录 下 ,可 以 看 到 一 些 文件 ,默认 的 有 iisstart. 
html 和 welcome. png 两 个 文件 ,iisstart. html 就 是 生成 如 图 8-4 所 示 的 网 页 文件 。 网 站 的 
物理 路 径 既 可 以 配置 成 本 机 路 径 , 也 可 以 配置 成 网 络 上 另外 一 个 计算 机 上 的 共享 文件 夹 。 
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图 8-5 网 站 基本 配置 


将 物理 路 径 修改 成 实际 需要 的 c:\oa, 再 次 在 PC-win7 中 刷新 访问 http://oa. dhy. com ,将 
会 得 到 实际 所 要 的 网 页 ,如 图 8-6 所 示 。 


OA 系统 
这 是 公司 的 OA 系统 


[局 @@ Internet | 保护 模式 :禁用 


图 8-6 访问 页 面 


现在 ,把 S-Web 中 c:\oa 中 的 default. html 文件 名 改 为 oa. html, 再 次 刷新 访问 ,会 出 
现 403- 禁 止 访 问 错误 ,这 是 为 什么 呢 ? 

这 是 因为 网 站 有 个 默认 文档 设置 , default. html 就 是 默认 文档 ,所 以 能 正常 访问 ， 
oa. html 不 是 默认 文档 ,所 以 不 能 正常 访问 。 在 IIS 管理 器 中 ,选择 Default Web Site 选项 ， 
在 主 窗 格 中 双击 “默认 文档 ”, 如 图 8-7 所 示 , 单 击 操作 窗 格 中 相应 的 命令 按钮 ,可 以 对 默认 
文档 进行 如 下 操作 : 添加 删除 、 上 移 \ 下 移 、 禁 用 .启用 等 。 位 于 上 面 的 默认 文档 比 它 下 面 
的 文档 有 更 高 的 优先 权 。 网 站 一 般 把 首页 添加 到 默认 文档 中 。 


图 8-7 默认 文档 


现在 ,添加 默认 文档 oa. html, 再 次 刷新 访问 网 站 ,又 可 以 正常 访问 了 。 

5. 访问 限制 

配置 的 Web 服务 器 是 要 供用 户 访问 的 ,因此 ,不 管 使 用 的 网 络 带宽 有 多 充裕 ,都 有 可 能 
因为 同时 连接 的 计算 机 数量 过 多 而 使 服务 器 死机 。 所 以 有 时 候 需要 对 网 站 进行 一 定 的 限 
制 , 例 如 ,限制 带宽 和 连接 数量 等 。 

选择 Default Web Site 站 点 , 单 击 右 侧 “操作 ” 栏 中 的 “限制 " 超 链 接 , 打 开 如 图 8-8 所 示 
的 “编辑 网 站 限制 "对话 框 。IIS 7.0 中 提供 了 两 种 限制 连接 的 方法 ,分 别 为 限制 带宽 使 用 和 
限制 连接 数 。 


编辑 网 站 限制 


8-8 编辑 网 站 限制 


选中 “限制 带宽 使 用 ( 字 节 )” 复 选 框 ,在 文本 框 中 输入 允许 使 用 的 最 大 带宽 值 。 控 制 
Web 服务 器 向 用 户 开放 的 网 络 带 宽 值 ,可 能 降低 服务 器 的 响应 速度 , 当 用 户 向 Web 服务 器 
的 请 求 增多 时 ,如 果 通 信和 带宽 超出 了 设 定 值 , 请 求 就 会 被 延迟 。 

选择 “限制 连接 数 " 复 选 框 ,在 文本 框 中 输入 限制 网 站 的 同时 连接 数 。 如 果 连 接 数 量 达 
到 指定 的 最 大 值 , 以 后 所 有 的 连接 尝试 都 会 返回 一 个 错误 信息 ,连接 将 被 断 开 。 限 制 连接 数 
可 以 有 效 防止 试图 用 大 量 客户 端 请 求 造成 Web 服务 器 负载 的 恶意 攻击 。 在 “连接 超时 ” 文 
本 框 中 输入 超时 时 间 ,可 以 在 用 户 端 达到 该 时 间 时 ,显示 为 连接 服务 器 超时 等 信息 ,默认 是 
120 秒 。 

提示 : IIS 连接 数 是 虚拟 主机 性 能 的 重要 标准 ,所 以 ,如 果 要 申请 虚拟 主机 (空间 ) ,首先 
要 考虑 的 一 个 问题 就 是 该 虚拟 主机 (空间 ) 的 最 大 连接 数 。 

6. 配置 IP 地 址 限制 

有 些 Web 网 站 由 于 其 使 用 范围 的 限制 ,或 者 其 私密 性 的 限制 ,可 能 需要 只 向 特定 用 户 
公开 ,而 不 是 向 所 有 用 户 公 开 。 此 时 就 需要 过 滤 来 访 的 IP 地 址 ,添加 允许 访问 的 IP 地 址 
( 段 ) ,或 者 拒绝 的 IP 地 址 ( 段 )。 需 要 注意 的 是 ,要 使 用 “IP 地 址 限制 ?功能 ,必须 安装 IIS 服 
务 的 “IP 和 域 限制 组件。 

1) 安装 IP 和 域 限制 角色 服务 

在 “服务 器 管理 器 ”通过 单 击 * 开 始 " 一 “程序 "一 ”管理 工具 "选项 调用 ) 的 “角色 "窗口 大 司 
中 , 单 击 “*Web 服务 器 (IIS) ”区域 中 的 “添加 角色 服务 选项 ,打开 如 图 8-9 所 示 的 窗口 。 添 
加 “IP 和 域 限 制 ? 角 色 。 如 果 先 前 安装 IIS 时 已 安装 该 角色 ,那么 就 不 需要 安装 ; 如 果 没 有 
安装 , 则 选中 该 角色 服务 ,安装 即 可 。 
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图 8-9 添加 角色 服务 


2) 设置 允许 访问 的 IP 地 址 
安装 完成 后 ,重新 打开 IIS 管理 器 ,选择 Web 站 点 ,双击 “IP 地 址 和 域 限 制 ? 图 标 ,显示 
如 图 8-10 所 示 “IP 地 址 和 域 限制 ”窗口 。 


Internet 信息 服务 CIS) 管 理 雪 


C3 @， 5h-2 ， 网 站 » Default Web Site » - 


location path="Default Web Site”> 


图 8-10 JIP 地 址 和 域 限制 


单 击 右 侧 “操作 ” 栏 中 的 “编辑 功能 设置 "链接 ,显示 如 图 8-11 所 示 “ 编 辑 IP 和 域 限制 设 
置 " 对 话 框 。 在 下 拉 列 表 中 选择 “拒绝 ”选项 ,那么 此 时 所 有 的 IP 地 址 都 将 无 法 访问 站 点 。 
如 果 访 问 ,将 会 出 现 *“403. 6” 的 错误 信息 。 

在 右 侧 “操作 ? 栏 中 , 单 击 * 添 加 允许 条 目 ” 按 钮 ,显示 * 添 加 允许 限制 规则 ”窗口 ,如 图 8-12 
所 示 。 如 果 要 添加 允许 某 个 IP 地 址 访问 ,可 选中 * 特 定 IPv4 地 址 ” 单 选 按钮 ,并 输入 允许 访 
问 的 IP 地 址 。 


示 加 人 允许 限制 规则 


8-11 编辑 IP 地 址 和 域 限制 设置 图 8-12 添加 IP 地 址 段 


一 般 来 说 ,我 们 需要 设置 一 个 站 点 是 要 多 个 人 访问 的 ,所 以 大 多 情况 下 要 添加 一 个 IP 
地 址 段 ,可 以 选中 “IPv4 地 址 范围 " 单 选 按钮 ,并 输入 IP 地 址 及 子 网 掩 码 或 前 级 即 可 ,如 
8-12 所 示 。 需 要 说 明 的 是 ,此 处 输入 的 是 IPv4 地 址 范围 中 的 最 低 值 ,然后 输入 子 网 掩 
码 , 当 IIS 将 此 子 网 掩 码 与 IPv4 地 址 范围 "文本 框 中 输入 的 IPv4 地 址 一 起 计算 时 ,就 确定 
了 IPv4 地 址 空间 的 上 边界 和 下 边界 。 

经 过 以 上 设置 后 ,只 有 添加 到 允许 限制 规则 列表 中 的 IP 地 址 才 可 以 访问 Web 网 站 ,使 
用 其 他 IP 地 址 都 不 能 访问 ,从 而 保证 了 站 点 的 安全 。 

3) 设置 拒绝 访问 的 计算 机 

“拒绝 访问 "和 “允许 访问 "正好 相反 。“ 拒 绝 访问 "将 拒绝 一 个 特定 IP 地 址 或 者 拒绝 一 
个 IP 地 址 段 访问 Web 站 点 。 比 如 ,Web 站 点 对 于 一 般 的 IP 都 可 以 访问 ,只 是 针对 某 些 IP 
地 址 或 IP 地 址 段 不 开放 ,就 可 以 使 用 该 功能 。 

首先 打开 “编辑 IP 和 域 限制 设置 ”对话 框 ,选择 “允许 ”选项 ,使 未 指定 的 IP 地 址 允许 访 
间 Web 站 点 。 参 考 图 8-11。 

单 击 “ 添 加 拒绝 条 目 ” 超 链接 ,显示 如 图 8-13 所 示 对 话 框 ,添加 拒绝 访问 的 IP 地 址 或 者 
IP 地 址 段 即 可 。 操 作 步骤 和 原理 与 “添加 允许 条 目 ” 相 同 , 此 处 不 再 次 述 。 

7. 配置 MIME 类 型 

IIS 服务 器 中 Web 站 点 默认 不 仅 支持 像 . htm、. html 等 这 些 网 页 文件 类 型 ,还 支持 大 部 
分 的 文件 类 型 ,比如 . avi、. jpg 等 。 但 是 ,如 果 文 件 类 型 不 为 Web 网 站 所 支持 ,那么 ,在 网 页 
中 运行 该 类 型 的 程序 或 者 从 Web 网 站 下 载 该 类 型 的 文件 时 ,将 会 提示 无 法 访问 。 此 时 , 需 
要 在 Web 网 站 添加 相应 的 MIME 类 型 ,比如 ISO 文件 类 型 。MIME (Multipurpose 
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8-13 添加 拒绝 限制 规则 


Internet Mail Extensions) 即 多 功能 Internet 邮件 扩充 服务 ,可 以 定义 Web 服务 器 中 利用 文 
件 扩展 所 关联 的 程序 。 

如 果 Web 网 站 中 没有 包含 某 种 MIME 类 型 文件 所 关联 的 程序 ,那么 ,用 户 访问 该 类 型 
的 文件 时 就 会 出 现 如 图 8-14 所 示 的 错误 信息 。 


IIS 7.0 详细 错误 - 404.3 - Not Found - Windows Intermet Explor |D| x| 
[四 http: /flocalhost/Killvirus. iso | 画 园 | 证 至 到 | 有 | 
[mm 


应 用 程序“ “DEFAULT WEB ee 


net 信息 服务 7. 


| 


HTTP 错误 404.3 - Not Found 


由 于 扩展 配置 问题 而 无 法 提供 您 请 求 的 页 面 。 如 果 该 页 面 是 脚本 ， 请 添加 处 理 
程序 。 如 果 应 下 载 文 件 ， 请 添加 MIME 映射 。 


8-14 缺少 文件 类 型 错误 


在 IIS 管理 器 ,选择 “网 站 ”中 需要 设置 的 Web 站 点 ,在 主页 窗口 中 双击 “MIME 类 型 ” 
图 标 ,显示 如 图 8-15 所 示 “MIME 类 型 "窗口 , 列 出 了 当前 系统 中 已 集成 的 所 有 MIME 类 型 。 

如 果 想 添加 新 的 MIME 类 型 ,可 以 在 “操作 ” 栏 中 单 击 “ 添 加 ”选项 ,显示 如 图 8-16 所 示 
的 “添加 MIME 类 型 ”对话 框 。 在 “文件 名 扩展 名 ”文本 框 中 输入 想 要 添加 的 MIME 类 型 ， 
例如 “. ISO”, 在 “MIME 类 型 "文本 框 中 输入 文件 扩展 名 所 属 的 类 型 。 

提示 : 如 果 不 知 道 文件 扩展 名 所 属 的 类 型 ,可 以 在 MIME 类 型 列表 中 选择 相同 类 型 的 
扩展 名 ,双击 打开 “编辑 MIME 类 型 "对话 框 。 在 “MIME 类 型 ”文本 框 中 复制 相应 的 类 型 
即 可 。 


图 8-15 “MIME 类 型 "窗口 
添加 NINE 类 型 


ee | 
Cm | 


8-16 ”添加 MIME 类 型 


按照 同样 的 步骤 ,可 以 继续 添加 其 他 MIME 类 型 。 这 样 ,用 户 就 可 以 正常 访问 Web 网 
站 的 相应 类 型 的 文件 了 。 当 然 如 果 需 要 修改 MIME 类 型 ,可 以 双击 打开 进行 编辑 ; 如 果 要 
删除 MIME 类 型 ,可 以 选中 相依 的 MIME 类 型 , 单 击 “ 操 作 ” 栏 的 “删除 ”选项 即 可 。 


8.4 应 用 案例 2: 添加 新 网 站 


8.4.1 案例 内 容 


DHY 公司 现在 已 经 可 以 正常 使 用 OA 系统 进行 网 络 办 公 了 。 公 司 为 了 对 外 宣传 , 需 
要 建立 门户 网 站 www. dhy. com; 公司 与 其 他 公司 以 及 客户 有 业务 来 往 , 还 想 建立 一 个 电 
子 商务 网 站 。 公 司 希 望 在 最 小 开销 的 情况 下 完成 这 个 工作 。 


8.4.2 案例 分 析 


要 架设 新 的 网 站 ,同时 开销 最 小 ,可 以 采用 在 同一 台 服 务 器 上 架设 多 个 网 站 的 方法 。 在 
IIS 中 能 同时 架设 多 个 网 站 ,以 满足 公司 的 需求 。 当 然 , 多 个 网 站 在 一 台 服 务 器 上 运行 ,性 | 章 
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能 必定 受到 服务 器 性 能 限制 ,所 以 必须 在 保证 满足 业务 要 求 的 性 能 的 前 提 下 ,在 一 台 服 务 器 
上 架设 多 个 网 站 。 


8.4.3 案例 实施 的 条 件 
与 本 章 应 用 案例 1 的 实施 条 件 相同 。 
8.4.4 案例 实施 过 程 


在 同一 台 服务 器 上 架设 多 个 网 站 ,要 解决 如 何 识别 不 同 的 网 站 以 便 访 问 的 问题 。IIS 
中 ,有 三 种 标示 用 来 区 别 不 同 的 网 站 ,三 种 标示 中 任何 一 个 不 同 ,就 被 认为 是 不 同 的 网 站 。 
这 三 个 标示 是 主机 名 、IP 地 址 .端口 。 下 面 新 建 网 站 ,并 使 用 三 种 不 同 标示 ,来 区 分 新 建 网 
站 www. dhy. com 与 已 有 的 网 站 oa. dhy. com。 

1. 用 不 同 的 主机 名 新 建 网 站 

www. dhy. com 与 oa. dhy. com 就 是 不 同 的 主机 名 ,用 主机 名 www. dhy. com 新 建 网 
站 ,并 把 已 有 的 Default Web Site 的 主机 名 改 为 oa. dhy. com。 

(1) 在 S-DNS 计算 机 中 ,添加 DNS 主机 记录 ,域名 www. dhy. com,IP 地 址 为 10. 0. 0. 2。 
注意 这 里 www. dhy. com 与 oa. dhy. com 都 指向 S-Web 的 地 址 10. 0. 0. 2。 

(2) 为 www. dhy. com 准备 好 主页 default. html, 保 存在 c:\www 下 面 。 

(3) 在 S-Web 计算 机 中 打开 IIS 管理 器 。 

(4) 在 “连接 ” 窗 格 中 , 右 击 树 中 的 “网 站 ”节点 ,然后 单 击 “ 添 加 网 站 ”命令 。 

(5) 如 图 8-17 所 示 , 在 “添加 网 站 ”对 话 框 中 的 “网 站 名 称 ” 文 本 框 中 ,为 网 站 输入 一 个 
好 记 的 名 称 。 比 如 就 使 用 主机 名 www. dhy. com 命名 网 站 。 
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.dhy. com 


8-17 添加 网 站 


(6) 如 果 要 选择 其 他 应 用 程序 池 ,而 不 是 “应 用 程序 池 ? 框 中 列 出 的 应 用 程序 池 , 请 单 击 
“选择 ”按钮 。 在 “选择 应 用 程序 池 ” 对 话 框 中 ,从 “应 用 程序 池 ” 列 表 中 选择 一 个 应 用 程序 池 ， 
然后 单 击 “ 确 定 ” 按 钮 。 


应 用 程序 池 是 一 个 可 以 向 其 分 配 Web 应 用 程序 的 工作 进程 。 通 过 应 用 程序 池 来 隔离 
Web 应 用 程序 ,可 以 减弱 一 个 应 用 程序 访问 另 一 个 应 用 程序 的 资源 的 能 力 , 从 而 提高 应 用 
程序 的 安全 性 。 此 隔离 还 有 助 于 防止 一 个 应 用 程序 池 中 的 Web 应 用 程序 对 同一 Web 服务 
器 上 另 一 个 应 用 程序 池 中 Web 应 用 程序 的 可 用 性 产生 负面 影响 。 例 如 ,如 果 一 个 Web 应 
用 程序 失败 或 耗 用 了 大 量 资 源 , 则 在 大 多 数 情 况 下 , Web 服务 器 上 其 他 应 用 程序 池 中 的 应 
用 程序 将 不 受 影响 。 如 果 在 Web 服务 器 上 创建 的 应 用 程序 池 太 多 , 则 可 能 会 对 Web 服务 
器 的 性 能 产生 不 利 影响 。 

(7) 在 “物理 路 径 ” 文 本 框 中 ,输入 网 站 的 文件 夹 的 物理 路 径 c:\www, 或 者 单 击 浏览 按 
钮 (…) 并 通过 在 文件 系统 中 导航 来 找到 该 文件 夹 。 

(8) 如 果 在 第 (5) 步 中 输入 的 物理 路 径 是 远程 共享 的 路 径 , 则 单 击 “ 连 接 为 按钮 以 指定 
有 权 访 问 该 路 径 的 凭据 。 如 果 不 使 用 特定 的 凭据 ,在 “连接 为 "对话 框 中 选择 “应 用 程序 用 户 
(传递 式 身份 验证 )” 选 项 。 

(9) 从 “类 型 "列表 中 为 网 站 选择 协议 。 此 处 使 用 默认 类 型 http。 

(10)“IP 地 址 ”列表 框 中 选择 默认 值 “全 部 未 分 配 ”。 

(11) 在 “端口 "文本 框 中 选择 默认 值 。 

(12) 在 “主机 头 ” 文 本 框 中 为 网 站 输入 主机 头 名 称 www. dhy. com。 

(13) 如 果 无 须 对 站 点 做 任何 更 改 ,并 且 希 望 网 站 立即 可 用 ,请 选中 “立即 启动 网 站 ” 复 
选 框 。 

(14) 单 击 “ 确 定 ” 按 钮 。 

(15) 在 PC-Win7 中 ,打开 浏览 器 并 输入 http://www. dhy. com, 验 证 新 建 网 站 是 否 正 
确 。 图 8-18 显示 的 是 作者 的 实验 网 页 。 
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公司 主页 
这 是 dhy 公 司 的 主页 


8-18 新 建 网 站 验证 


2. 用 不 同 的 IP 地 址 新 建 网 站 

为 了 更 加 清楚 对 比 在 同一 个 服务 器 中 使 用 主机 名 区 分 不 同 的 网 站 和 使 用 IP 地 址 区 分 
不 同 的 网 站 的 不 同 , 本 节 不 再 新 建 网 站 ,而 是 修改 已 经 建 好 的 网 站 www. dhy. com 和 oa. 
dhy. com 的 配置 ,作为 对 比 。 

用 不 同 的 IP 地 址 新 建 网 站 ,服务 器 必须 有 两 个 以 上 的 IP 地 址 。 要 得 到 多 个 IP 地 址 ， 
可 以 添加 多 个 网 卡 , 每 个 网 卡 设 置 不 同 的 IP 地 址 ,也 可 以 在 同一 个 网 卡 上 添加 多 个 IP 
地 址 。 

(1) 在 S-Web 计算 机 中 的 同一 个 网 卡 上 添加 多 个 IP 地 址 ,如 图 8-19 所 示 。 打 开 “ 本 地 | 章 
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连接 属性 ”对 话 框 ,双击 “Internet 协议 版 本 ”选项 , 单 击 “ 高 级 ”按钮 。 在 “高 级 TCP/IP 设 
置 ” 对 话 框 中 单 击 “ 添 加 ”按钮 ,添加 IP 地 址 10. 0. 0. 4。 


8-19 添加 多 个 IP 地 址 


(2) 在 S-DNS 计算 机 中 修改 主机 记录 www. dhy. com 的 IP 地 址 为 10. 0. 0. 4 。 

(3) 在 S-Web 计算 机 IIS 管理 器 中 ,选中 连接 窗 格 的 www. dhy. com, 在 “操作 ” 窗 格 中 
单 击 * 绑 定 ? 选 项 ,弹出 “网 站 绑 定 ” 窗 口 ,选中 对 应 的 网 站 条 目 , 单 击 * 编 辑 ” 按 钮 ,弹出 “编辑 
网 站 绑 定 ”窗口 ,如 图 8-20 所 示 。 在 IP 地 址 中 输入 10. 0. 0. 4 ,端口 为 80 ,清除 主机 名 。 


8-20 ”编辑 网 站 绑 定 


(4) 同 理 , 对 网 站 Default Web Site 编辑 网 站 绑 定 。 在 IP 地 址 中 输入 10. 0. 0. 2 ,端口 
为 80 ,清除 主机 名 。 

(5) 在 PC-Win7 计算 机 中 ,打开 浏览 器 ,分 别 输 入 http://www. dhy. com 和 http:// 
oa. dhy. com, 检 验 结果 是 否 正 确 。 如 果 结 果 不 正确 ,有 可 能 是 DNS 缓存 没有 刷新 造成 的 ， 
请 在 命令 提示 符 下 输入 ipconfig /flushdns 刷新 DNS 缓存 ,重启 浏览 器 后 再 访问 。 也 可 以 


直接 输入 http://10.0.0.2 和 http://10. 0.0.4 访 问 。 

3. 用 不 同 的 端口 新 建 网 站 

为 了 更 加 清楚 地 理解 在 同一 个 服务 器 中 使 用 端口 区 分 不 同 的 网 站 ,本 节 不 再 新 建 网 站 ， 
而 是 修改 已 经 建 好 的 网 站 www. dhy. com 和 oa. dhy. com 的 配置 ,与 前 面 两 节 进 行 对 比 。 

(1) 在 S-Web 计算 机 IIS 管理 器 中 ,对 网 站 Default Web Site 编辑 网 站 绑 定 ,IP 地 址 设 
置 为 全 部 未 分 配 ,端口 为 8080 ,清除 主机 名 。 

(2) 同 理 对 网 站 www. dhy. com 编辑 网 站 绑 定 ,IP 地 址 设置 为 全 部 未 分 配 ,端口 为 80， 
清除 主机 名 。 

(3) 在 PC-Win7 计算 机 中 ,打开 浏览 器 ,输入 http://www. dhy. com( 或 http://oa. 
dhy. com 或 http://10. 0.0. 2 或 http://10.0.0.4) 会 显示 公司 的 主页 ,输入 http://www. 
dhy. com:8080( 或 http://oa. dhy. com:8080 或 http://10. 0. 0.2:8080 或 http://10.0.0. 
4:8080) 会 显示 公司 的 OA。 检验 结果 是 否 正确 。 

注意 : 输入 http://www. dhy. com:8080 可 能 出 现 无 法 显示 的 情况 。 这 是 因为 Windows 
Server 2008 默认 开启 Windows 防火 墙 ,8080 端口 是 关闭 的 。 此 时 可 以 开启 S-Web 计算 机 
的 8080 端口 或 者 关闭 Windows 防火 墙 后 重 试 。 


8.5 应 用 案例 3: 新建 物理 目录 和 虚拟 目录 


8.5.1 案例 内 容 


DHY 公司 为 了 丰富 网 站 内 容 ,要 求 公司 的 下 属 部 门 都 要 有 自己 的 网 页 ,请 配置 IIS , 满 
足 公 司 的 需求 。 
8.5.2 案例 分 析 

要 满足 公司 的 下 属 部 门 都 要 有 自己 的 网 页 的 要 求 ,方法 很 多 ,可 以 为 每 一 个 下 属 部 门 新 
建 一 个 网 站 ,也 可 以 在 原 有 公司 网 站 下 面 新 建物 理 目 录 或 虚拟 目录 的 方法 。 此 处 采用 后 一 
种 方法 。 

目录 分 为 两 种 类 型 : 物理 和 虚拟 。 在 网 站 主 目录 之 下 新 建 多 个 子 文件 夹 , 然 后 将 网 页 
文件 存储 到 主 目录 与 这 些 子 文件 夹 内 ,这 些 子 文件 夹 被 称 为 物理 目录 。 虚 拟 目录 是 在 IIS 
中 指定 并 映射 到 本 地 或 远程 服务 器 上 的 物理 目录 的 目录 名 称 。 可 以 使 用 虚拟 目录 包含 应 用 
程序 中 的 内 容 , 而 无 须 向 该 应 用 程序 的 物理 目录 中 移动 或 复制 文件 。 


8.5.3 案例 实施 的 条 件 
与 本 章 应 用 案例 1 的 实施 条 件 相同 。 
8.5.4 案例 实施 过 程 


下 面 以 DHY 的 下 属 部 门 Sales 为 例 讲述 案例 的 实施 过 程 。 
1. 物理 目录 方式 
(1) 在 计算 机 的 C:\www 文件 夹 下 新 建文 件 夹 Sales, 在 Sales 下 新 建 销售 部 的 网 页 文 
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件 default. html 。 

(2) 在 PC-Win7 的 浏览 器 中 输入 http://www. dhy. comy/sales, 检 验 是 否 显示 正确 的 
销售 部 网 页 。 

2. 虚拟 目录 方式 

(1) 在 S-Web 计算 机 中 的 C 盘 下 新 建文 件 夹 Sales, 在 Sales 下 新 建 销售 部 的 网 页 文件 
default. html。 为 避免 物理 目录 的 影响 ,删除 c:\www 文件 夹 下 的 文件 夹 Sales。 

(2) 在 S-Web 计算 机 的 IIS 管理 器 中 , 右 击 网 站 名 称 www. dhy. com, 选 择 * 添 加 虚拟 
目录 ”命令 。 

(3) 在 “添加 虚拟 目录 ”对 话 框 中 输入 别名 (此 处 假设 为 Sales, 别 名 与 真实 的 物理 文件 
的 名 称 没有 关系 ,可 以 相同 也 可 以 不 同 ) ,并 单 击 “ 物 理 路 径 ” 后 的 按钮 ,指定 Sales 的 网 站 文 
件 路 径 , 此 物理 路 径 可 以 是 本 机 路 径 , 也 可 以 是 网 络 上 另外 一 个 计算 机 内 的 共享 文件 夹 ,如 
8-21 所 示 ,然后 单 击 “ 确 定 ” 按 钮 。 


添加 虚拟 目录 


图 8-21 设置 虚拟 目录 
(4) 在 PC-Win7 的 浏览 器 中 输入 http://www. dhy. com/sales, 检 验 是 否 显 示 正 确 的 
销售 部 网 页 。 
8.6 应 用 案例 4: 搭建 动态 网 站 环境 


8.6.1 案例 内 容 


DHY 公司 原 有 的 网 站 都 使 用 静态 网 页 。 现 在 公司 网 站 升级 ,使 用 动态 技术 。 请 配置 
JS ,满足 公司 的 需求 。 


8.6.2 案例 分 析 


默认 情况 下 ,IIS 中 的 Web 网 站 只 支持 运行 静态 HTML 页 面 ,但 从 现在 的 网 站 技术 来 
说 ,一 般 都 采用 动态 技术 实现 ,这 就 需要 在 IIS 中 搭建 动态 网 站 环境 。 在 IIS 中 可 以 配置 多 
种 动态 网 站 技术 环境 ,如 ASP、JSP、PHP 等。 


8.6.3 案例 实施 的 条 件 
与 本 章 应 用 案例 1 的 实施 条 件 相同 。 
8.6.4 案例 实施 过 程 


1. 搭建 ASP 环境 

Active Server Pages(ASP) 是 微软 提供 的 动态 网 站 技术 ,可 以 用 来 创建 和 运行 动态 交互 
式 网 页 。 使 用 IIS 架设 的 Web 服务 器 可 以 运行 ASP 网 页 。 

要 搭建 ASP 运行 环境 ,首先 要 确保 安装 了 ASP 组 件 。 在 “添加 角色 服务 ”向 导 中 ,选中 
ASP. NET 和 ASP 复 选 框 ,如 图 8-22 所 示 。 


回 iTTP 错误 ”已 安 装 ) 
口 jaTF 重 定向 

日 贺 应 用 程序 开发 ”已 安装 ) 
回 ASP.IET 已 云 装 ) 
回 NET 扩展 性 “(已 安装 ) 
回 
回 Cel 已 安装 ) 
回 ISAFI 扩展 “(已 安装 ) 
回 ISAEI 般 选 器 ” 忆 支 装 ) 
口 在 服务 器 庙 的 包含 文件 
健康 和 诊断 。 (已 安装 ) 
回 HTP 日 志 记 录 “(已 安装 ) 
口 日 志 记录 工 
回 请 求 监 视 “(已 安装 ) 
口 正在 跟踪 
口 自 定义 日 志 记 录 


图 8-22 安装 ASP.NET 和 ASP 


打开 IIS 管理 器 ,选择 Web 站 点 ,在 主页 窗口 中 双击 ASP 图 标 , 显 示 如 图 8-23 所 示 的 
窗口 ,可 以 设置 ASP 属性 ,包括 编译 、 服 务 和 行为 等 设置 。 此 处 需要 将 “启用 父 路 径 ” 的 属性 
设置 为 True。 

需要 说 明 一 点 的 是 ,在 64 位 的 Windows Server 2008 系统 中 没有 JET 4. 0 驱动 程序 ， 
而 IIS 7.0 应 用 程序 池 默 认 没有 启用 32 位 程序 ,所 以 需要 在 HS 7. 0 中 启用 32 位 程序 。 

方法 如 下 : 在 IIS 管理 器 中 ,选中 “应 用 程序 池 ”, 单 击 右 侧 “操作 ” 栏 的 “设置 应 用 程序 池 
默认 设置 ?选项 ,将 “启用 32 位 应 用 程序 ”设置 为 True 即 可 。 

2. 搭建 PHP 环境 

PHP 是 一 种 新 型 的 编写 语言 ,可 以 方便 快捷 地 编写 出 功能 强大 、 运 行 速度 快 , 并 可 以 运 | 章 
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ion path= "test “> 


图 8-23 ASP 设置 窗口 


行 于 Windows、UNIX、Linux 操作 系统 的 Web 程序 。PHP 编写 的 Web 应 用 程序 一 般 采 用 
Apache 服务 器 ; 但 是 ,IIS 也 可 以 支持 PHP。 默 认 情 况 下 ,IIS 并 不 支持 PHP 程序 ,需要 安 
装 相 应 的 PHP 程序 。PHP 目前 用 于 Windows 的 最 新 版 本 为 5. 3 版 ,可 以 从 其 官方 网 站 
(http://windows. php. net/download/) 下 载 。 

下 载 PHP 安装 程序 后 ,双击 安装 程序 进行 安装 ,安装 过 程 中 ,在 如 图 8-24 所 示 的 Web 
Server Setup 页 面 ,选中 IIS FastCGI 单 选 按钮 。 其 他 过 程 使 用 默认 选项 即 可 。 


Web Server Setup 
Select the Web Server you wish to setup. 


8-24 Web Server Setup 


安装 完成 后 ,打开 IIS, 选 择 默 认 网 站 ,双击 “处 理应 用 程序 映射 ”图标 ,会 看 到 一 个 名 为 
Php_via_ FastCGI 的 程序 映射 名 称 ,该 映射 说 明 对 于 x*. php 的 应 用 程序 ,都 将 使 用 


FastCgiMoudle 处 理 程序 来 处 理 。 至 此 ,PHP 环境 已 经 搭建 完毕 。 
在 默认 网 站 下 添加 一 个 index. php 的 测试 页 面 , 输 入 内 容 为 : 


<?php phpinfo( );?> 
保存 并 退出 。 


在 浏览 器 中 输入 http://localhost/index. php, 如 果 配 置 正确 的 话 , 将 会 出 现 如 图 8-25 
所 示 的 PHP 配置 信息 ; 否则 ,说 明 PHP 配置 不 成 功 ,需要 检查 并 重新 设置 。 


图 8-25 PHP 测试 页 


8.7 练习 案例 


你 是 公司 的 网 络 管理 员 ,公司 名 为 fabrikam,Inc. ,公司 域名 为 fabrikam. com。 该 公司 
有 多 个 下 属 部 门 。 

你 在 数据 中 心 一 台新 的 Windows Server 2008 计算 机 上 安装 了 IIS。 你 将 该 计算 机 命 
名 为 WWW, 你 在 WWW 上 安装 了 两 个 网 卡 : 一 个 具有 公用 IP 地 址 202. 3. 1. 9, 一 个 具有 
专用 IP 地 址 ,并 配置 成 具有 IP 地 址 10. 10. 30. 54。 专 用 子 网 是 10. 10. 30. x。 

公司 由 于 宣传 的 需要 ,要 求 建立 公司 的 对 外 宣传 网 站 ,网 站 名 为 www. fabrikam. com， 
该 网 站 从 专用 网 和 公 网 上 都 能 够 访问 。 

公司 由 于 办 公 和 需求 ,要 求 建立 公司 的 办 公 网 络 ,网 站 名 为 oa. fabrikam. com, 出 于 安全 
考虑 ,该 网 站 只 能 从 专用 网 上 访问 ,从 公 网 上 不 能 访问 。 

无 论 www. fabrikam. com 还 是 oa. fabrikam. com ,都 是 用 ASP. NET 编写 ,网 站 必须 支 
持 该 动态 技术 。 

公司 有 很 多 下 属 部 门 ,各 下 属 部 门 也 必须 有 自己 的 网 页 。 
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请 根据 以 上 要 求 ,完成 案例 。 
8.8 课 后 习题 


1. 公司 计划 启用 网 站 ,域名 为 heart. dhynet. com, 服 务 器 IP 是 218. 1. 2. 28 ,请 概述 完 
成 此 任务 的 过 程 。 
2. 公司 因 举 行 宣传 活动 ,设计 了 一 个 新 的 网 页 ,计划 使 用 http://heart. dhynet. com/ 
adv 进行 访问 ,请 概述 操作 过 程 。 
3. 如 何 测试 Web 服务 是 否 正 常 工作 ? 
.Web 服务 默认 端口 号 是 多 少 ? 如 何 访问 Web 服务 ? 
. 创建 网 站 得 方式 有 哪 几 种 ? 
.简要 叙述 新 建 网 站 和 虚拟 目录 的 区 别 。 
. 若 需 要 Web 站 点 支持 ASP, 应 做 哪些 设置 ? 
. 管理 Web 站 点 ,设置 站 点 属性 ,如 将 连接 并 发 数 限制 为 3 个 ,如 何 设置 ? 
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9.1 导语 : 为 什么 要 进行 网 络 设备 管理 


网 络 管理 员 对 网 络 设备 的 管理 主要 是 对 交换 机 、 路 由 器 及 线路 的 管理 。 要 管理 网 络 设 
备 , 就 必须 知道 网 络 在 物理 上 是 如 何 连 接 起 来 的 ,网 络 中 的 终端 如 何 与 男 一 终端 实现 互 访 与 
通信 ,如 何 处 理 速 率 与 带宽 的 差别 ; 不 同 的 网 络 是 如 何 互 联 及 如 何 通信 的 。 要 解决 这 些 问 
题 ,需要 了 解 网 络 设 备 管理 的 有 关 原 理 与 技术 ,包括 网 络 互联 的 架构 、 技 术 、 接 口 器 件 以 及 交 
换 机 和 路 由 器 的 管理 和 配置 技术 。 

目前 著名 的 网 络 设备 生产 厂商 主要 有 Cisco( 思 科 )、 华 为 , 锐 捷 、 中 兴 、 大 唐 、 中 兴 、 
D-LINK 、TP-LINK 等 。 本 章 以 Cisco 网 络 设备 为 基础 ,介绍 网 络 设备 管理 的 有 关 原 理 和 技 
术 ,重点 介绍 交换 机 和 路 由 器 的 配置 和 管理 。 


9.2 网 络 互 联 的 架构 


网 络 架构 采用 层次 化 模型 设计 ,即将 复杂 的 网 络 设计 分 成 几 个 层次 ,每 个 层次 着 重 于 某 
些 特定 的 功能 ,这 样 就 能 够 使 一 个 复杂 的 大 问题 变 成 许多 简单 的 小 问题 。 通 常 把 网 络 设计 
分 为 三 层 , 即 核心 层 (网 络 的 高 速 交 换 主干) .汇聚 层 ( 提 供 基于 策略 的 连接 ) 和 接 人 层 ( 将 工 
作 站 接 入 网 络 , 也 称 访问 层 ) ,以 把 不 同 的 主要 网 络 设 备 合理 有 效 地 组 织 起 来 构建 成 一 个 网 
络 , 如 图 9-1 所 示 。 


图 9-1 层次 设计 模型 
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1. 核心 层 

核心 层 是 网 络 的 高 速 交换 主干 ,对 整个 网 络 的 连通 起 到 至 关 重 要 的 作用 。 核 心 层 应 该 
有 具有 可 靠 性 、 高 效 性 、 宛 余 性 ,容错 性 、 可 管理 性 、 适 应 性 、 低 延 时 性 等 特性 。 在 核心 层 中 ,应 
该 采用 高 带宽 的 千 兆 以 上 交换 机 。 因 为 核心 层 是 网 络 的 中 心 ,极其 重要 ,所 以 核心 层 设备 多 
采用 双 机 宛 余热 备份 以 及 负载 均衡 功能 ,来 改善 网 络 性 能 。 核 心 层 一 直 被 认为 是 所 有 流量 
的 最 终 承 受 者 和 汇聚 者 ,所 以 对 核心 层 的 设计 以 及 网 络 设备 的 要 求 十 分 严格 ,网 络 的 控制 功 
能 最 好 尽量 少 在 骨干 层 上 实施 。 

2. 汇聚 层 

汇聚 层 是 网 络 接 入 层 和 核心 层 的 中介 ”, 为 接 入 层 提 供 数据 的 汇聚 ,传输 ,管理 ,分 发 处 
理 等 ,以 减轻 核心 层 设备 的 负荷 。 汇 聚 层 具 有 实施 策略 、 安 全 、 工 作 组 接 入 、 虚 拟 局 域 网 
(VLAN) 之 间 的 路 由 、 源 地 址 或 目的 地 址 过 滤 等 多 种 功能 。 汇 聚 层 设备 一 般 采 用 可 管理 的 
三 层 交 换 机 或 堆 释 式 交换 机 以 达到 带宽 和 传输 性 能 的 要 求 , 并 通过 VLAN 的 设置 达到 网 络 
隔离 和 分 段 的 目的 。 汇 聚 层 必须 能 够 处 理 来 自 接 和 人 层 设备 的 所 有 通信 量 , 并 提供 到 核心 层 
的 上 行 链 路 ,因此 汇聚 层 交换 机 与 接 入 层 交换 机 比较 ,需要 更 高 的 性 能 ,更 少 的 接口 和 更 高 
的 交换 速率 。 汇 聚 层 设备 之 间 以 及 汇聚 层 设备 与 核心 层 设备 之 间 多 采用 光纤 互联 ,以 提高 
系统 的 传输 性 能 和 吞吐 量 。 

3. 接 人 层 

为 用 户 提供 了 在 本 地 网 段 连接 网 络 ,访问 应 用 系统 的 能 力 , 接 入 层 目 的 是 允许 终端 用 户 
连接 到 网 络 , 因 此 接 入 层 交 换 机 具有 低 成 本 和 高 端口 密度 特性 。 在 接 入 层 设计 上 主张 使 用 
性 能 价格 比 高 的 设备 。 由 于 接 入 层 是 最 终 用 户 ( 教 师 、 学 生 ) 与 网 络 的 接口 ,应 该 提供 即 插 即 
用 的 特性 ,同时 应 该 非常 易于 使 用 和 维护 ,同时 要 考虑 端口 密度 的 问题 。 以 解决 相 邻 用 户 之 
间 的 互 访 需 求 ,并且 为 这 些 访 问 提 供 足 够 的 带宽 , 接 人 层 可 以 选择 不 支持 VLAN 和 三 层 交 
换 技 术 的 普通 交换 机 。 

对 于 网 络 规模 小 .联网 距离 较 短 的 环境 ,可 以 采用 “收缩 核心 设计。 忽略 汇聚 层 ,核心 
层 设 备 可 以 直接 连接 接 入 层 , 这 样 在 一 定 程度 上 可 以 省 去 部 分 汇聚 层 费 用 ,还 可 以 减轻 维护 
负担 ,更 容易 监控 网 络 状况 。 
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9.3.1 网 络 设备 


1. 路 由 器 (Router) 

路 由 器 用 于 广域网 或 广域网 与 局 域 网 的 互联 ,工作 在 OSI 体系 结构 中 的 网 络 层 , 是 企 
业 网 络 的 核心 设备 。 路 由 器 工作 在 网 络 层 .具有 地 址 翻译 .协议 转换 和 数据 格式 转换 等 功 
能 ,通过 分 组 转发 来 实现 网 络 互联 ,有 很 强 的 异种 网 连接 能 力 , 并 有 路 径 选 择 和 子 网 划分 功 
能 。 路 由 器 中 的 路 由 表 包 含有 网 络 地 址 .连接 信息 .路径 信 息 和 发 送 代 价 等 。 

市 场 上 的 路 由 器 ,其 具体 功能 和 档次 千差万别 。 在 企业 网 的 网 络 中 心 ,要 求 具 有 快速 的 
包 交 换 能 力 与 高 速 的 网 络 接口 ,可 使 用 高 端的 核心 路 由 器 ; 而 网 络 边缘 的 接 和 人 , 则 要 求 相对 
低速 的 端口 及 较 强 的 控制 能 力 , 通 常 使 用 中 低 端的 接 和 人 路 由 器 。 


2. 中 继 器 (Repeater) 

中 继 器 又 称 转发 器 ,用 于 连接 局 域 网 的 多 个 网 段 , 实 现 网 络 在 物理 层 的 连接 ,有 中 继 放 
大 信号 并 按 原 方向 传输 的 作用 。 中 继 器 是 扩展 网 络 最 廉价 的 选择 ,并 可 连接 不 同 传输 介质 
的 网 络 ,但 是 只 能 用 于 相同 协议 的 同 构 型 网 络 的 连接 , 且 没 有 隔离 和 过 滤 功 能 。 受 5-4-3 规 
则 的 限制 ,以 太 网 中 最 多 可 使 用 四 个 中 继 器 。 使 用 中 继 器 连接 以 后 的 两 个 网 段 仍 为 一 个 网 
络 ,如 果 和 希望 连接 后 是 两 个 网 络 , 则 应 选择 网 桥 。 

3. 集线器 (Hub) 

集线器 实际 上 是 多 口 的 中 继 器 ,又 称 集中 器 ,用 于 连接 多 台 计 算 机 或 其 他 网 络 设备 ,是 
校园 网 中 最 常见 的 网 内 连接 设备 。 集 线 器 的 速度 通常 为 10Mbps, 并 且 其 带宽 是 各 个 端口 
共享 的 ,同一 时 刻 只 能 为 一 个 客户 服务 。 集 线 器 会 产生 广播 风暴 ,在 级 联 时 还 受到 5-4-3 规 
则 的 约束 。 基 于 集线器 的 共享 式 网 络 在 企业 网 中 已 较 少 使 用 。 

4. 网 桥 (Bridge) 

网 桥 也 称 桥接 器 , 它 是 工作 在 数据 链 路 层 的 一 种 网 络 互联 设备 , 它 在 互联 的 局 域 网 之 间 
实现 帧 的 存储 和 转发 ,扩大 网 络 地 理 范 围 。 如 果 学 校 的 各 个 部 门 分 别 拥 有 自己 独立 管理 的 
局 域 网 ,为 了 进行 交互 ,需要 使 用 网 桥 来 实现 互联 (可 连接 不 同类 型 的 局 域 网 ); 网 桥 也 能 用 
于 将 一 个 负载 很 重 的 大 局 域 网 分 隔 成 几 个 局 域 网 以 减轻 负担 。 网 桥 可 以 隔离 负载 ,防止 出 
故障 的 站 点 损害 全 网 ,并 有 助 于 安全 保密 。 

5. 交换 机 (Switch) 

交换 机 是 工作 于 数据 链 路 层 的 局 域 网 连接 设备 ,与 集线器 的 区 别 在 于 ,其 速度 通常 在 
100Mbps 以 上 , 且 带 宽 是 各 个 端口 独占 的 。 从 广义 上 来 说 ,交换 机 仍 属于 集线器 的 范畴 ,但 
其 功能 却 不 断 变 化 ,有 的 可 堆 释 ,有 的 支持 网 管 ,有 的 还 具有 第 三 层 (ISO/OSI 参考 模型 的 
第 三 层 , 即 网 络 层 ) 的 功能 ,也 就 是 所 谓 的 “三 层 交 换 机 ”。 三 层 交 换 机 既 有 三 层 路 由 的 功能 ， 
又 具有 二 层 交换 的 网 络 速度 ,对 于 规模 较 大 的 企业 网 是 必 不 可 少 的 。 

6. 网 关 (Gateway) 

网 关 又 称 协议 转换 器 ,用 于 连接 不 同体 系 结构 的 网 络 ,实现 传输 层 及 以 上 各 层 的 协议 转 
换 , 是 网 间 互 联 中 最 复杂 的 设备 。 在 企业 网 中 ,网 关 常 是 由 一 台 计 算 机 来 充当 网 关 , 以 实现 
Internet 的 共享 连接 。 

7. 硬件 防火 墙 (FirewalD) 

相对 于 软件 防火 墙 而 言 ,硬件 防火 墙 有 更 多 的 优点 , 它 的 硬件 和 软件 都 是 单独 设计 的 ， 
有 专用 网 络 芯片 来 处 理 数据 包 , 同 时 采用 专门 的 操作 系统 平台 ,避免 了 通用 操作 系统 的 安全 
性 漏洞 。 

8. 无 线 AP(Wireless Access Point) 

无 线 AP 即 指 无 线 “ 访 问 接 和 人 点 ”相当 于 常规 网 络 设备 的 集线器 或 交换 机 ,配合 无 线 网 
卡 可 组 成 无 线 局 域 网 。 每 个 无 线 AP 都 会 有 其 所 能 容纳 的 信道 ,相当 于 交换 机 的 接口 数量 。 
无 线 AP 有 一 定 的 覆盖 距离 , 既 可 以 作为 无 线 中 心 站 ,也 可 以 用 来 当 作 与 有 线 局 域 网 通信 的 
桥梁 ,用 来 连接 其 他 有 线 客户 端 ,互联 网 或 是 其 他 网 络 设备 等 。 

目前 市 场 上 的 无 线 AP 有 普通 无 线 AP 和 带路 由 功能 的 无 线 AP 两 种 ,带路 由 的 扩展 型 
AP 即 无 线 宽带 路 由 器 (Wireless Router) ,除了 基本 的 AP 功能 之 外 ,还 带 有 若干 以 太 网 交 
换 口 (大 多 数 无 线 宽带 路 由 器 都 内 置 一 个 四 口 的 交换 机 ,可 以 当 作 有 线 宽带 路 由 器 使 用 ) , 提 
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供 路 由 NAT.、DHCP 打印 服务 器 等 功能 。 

9. 调制 解 调 器 (Modem) 

调制 解 调 器 用 于 模拟 信号 与 数字 信号 之 间 的 转换 ,在 线路 传输 和 计算 机 处 理 的 交接 处 
工作 。 过 去 用 于 电话 拨号 的 56Kbps 的 调制 解 调 器 已 成 昨日 黄花 。 宽 带 时 代 仍 离 不 开 各 种 
各 样 的 调制 解 调 器 : 像 用 于 有 线 电视 上 网 的 Cable 调制 解 调 器 .宽带 拨 入 的 xDSL 调制 解 调 
器 光缆 接 入 的 光纤 调制 解 调 器 ……: 

10. 光纤 收发 器 (Fiber Optic Converter) 

光纤 收发 器 又 叫 光电 介质 转换 器 ,通过 光电 耦合 来 实现 光电 信号 转换 作用 ,一 端 是 接 光 
纤 , 另 一 端 是 以 太 网 接口 ,速度 有 10Mbps/100Mbps/1000Mbps, 是 使 用 光纤 时 必须 要 用 到 的 。 

11. 网 卡 (LAN Adaptor) 

网 卡 又 称 网 络 适配器 ,工作 于 物理 层 和 数据 链 路 层 的 MAC 子 层 ,是 计算 机 进行 联网 的 
必需 设备 ,一 般 做 成 插 卡 的 形式 ,或 内 置 于 主板 上 ,接口 有 ISA、PCI、USB 的 ,连接 方式 有 双 
绞 线 的 、 同 轴 电缆 的 和 无 线 的 ,速度 有 十 兆 、 百 兆 直至 千 兆 的 。 


9.3.2 网 络 传输 介质 


企业 网 的 各 种 网 络 设备 之 间 需 要 连 线 ( 或 无 线 ) 进 行 互通 ,常用 的 有 双 绞 线 、 同 轴 电 缆 、 
光纤 等 。 

双 绞 线 是 8 芯 铜 线 ,分 成 4 对 绞 绕 而 成 ,与 其 他 设备 (交换 机 、 网 卡 等 ) 连 接 时 需要 用 到 
RJ-45 接头 (8 槽 水 晶 头 ) ,并 按照 T568B 或 T568A 规范 压制 ,同类 设备 连接 要 用 交叉 接 法 
(一 头 用 T568B, 另 一 头 用 T568A) ,不 同 设备 连接 则 用 平行 接 法 (两 头 相同 ) 。3 类 的 双 绞 线 
只 支持 到 10Mbps 的 速度 ,5 类 、 超 5 类 和 6 类 的 则 支持 100Mbps 甚至 1000Mbps 的 高 速 连 
接 。 双 绞 线 在 两 个 节点 间 的 有 效 传 输 距离 为 100 米 , 过 长 需要 使 用 中 继 器 。 屏 项 双 绞 线 
(Shielded Twisted Pair,STP) 的 传输 性 能 高 于 非 屏 蔽 双 绞 线 (Unshielded Twisted Pair， 
UTP) ,但 却 贵 很 多 。 

同 轴 电 缆 有 粗 缆 和 细 缆 之 分 ,只 支持 10Mbps 的 传输 速度 ,前 者 与 9 芯 D 型 AUI 连接 ， 
有 效 传输 距离 为 500m; 后 者 用 工 形 头 连接 网 卡 的 BNC 口 ,传输 距离 为 185m。 

光纤 是 逐渐 普及 的 传输 介质 ,有 多 模 和 单 模 之 分 ,传输 距离 分 别 能 达到 2km 和 40km 
甚至 以 上 。 

以 上 是 对 常见 网 络 互联 设备 的 简单 介绍 ,限于 篇 幅 , 下 面 只 介绍 常用 的 交换 机 和 路 由 器 
的 初步 配置 与 管理 内 容 。 


9.4 网络 设备 互联 接口 


网 络 设备 支持 的 物理 接口 可 细 分 为 两 种 : 一 种 是 LAN( 局 域 网 ) 接 口 (RJ-45), 通 过 
RJ-45 接口 与 局 域 网 中 的 网 络 设备 交换 数据 ; 另外 一 种 是 WAN( 广 域 网 ) 接 口 ,包括 同步 / 
异步 串口 .El1/PRI 接口 ISDN BRI 接口 等 ,通过 广域网 接口 可 以 与 广域网 中 的 交换 设备 交 
换 数据 。 

本 节 将 围绕 Cisco 设备 讨论 网 络 物理 接口 与 线 缆 的 相关 技术 ,包括 接口 规范 、 线 缆 类 
型 .传输 特征 以 及 使 用 注意 事项 等 。 


9.4.1 局 域 网 接口 及 线 绕 


网 络 设备 连接 局 域 网 的 物理 端口 一 般 是 以 双 绞 线 作 为 连接 介质 的 , 双 绞 线 的 收发 各 由 
两 条 拧 在 一 起 并 相互 绝缘 的 铜 线 组 成 ,两 条 拧 在 一 起 的 线 可 以 减少 线 间 的 电磁 干扰 。 

3 类 到 8 类 双 绞 线 在 塑料 外 包皮 内 均 有 4 对 线 缆 , 区 别 主要 在 于 类 型 越 高 的 双 绞 线 , 单 位 
长 度 的 绞 环 越 多 ,这 就 使 得 5 类 或 者 8 类 双 绞 线 的 串扰 现象 更 少 ,更 符合 高 速 网 络 的 通信 要 求 。 


双 绞 线 一 般 使 用 RJ-45 插头 作为 连接 器 ,如 图 9-2 所 示 为 RJ-45 接头 的 外 形 。 


图 9-2 RJ-45 接头 


5 类 双 绞 线 由 8 芯 细 线 组 成 , 它 有 两 种 连接 类 型 : 直通 方式 和 交叉 方式 。 


直通 和 交叉 两 种 双 绞 线 根据 相应 的 布线 标准 按 一 定 的 排列 方式 制作 出 来 的 ,两 种 布线 
标准 分 别 是 TIA/EIA 568A 和 TIA/EIA 568B, 在 实际 应 用 中 使 用 较 多 的 是 TIA/EIA 
568B 的 做 线 方法 ,二 者 之 间 的 区 别 可 从 导线 颜色 排列 顺序 加 以 区 分 。 网 线 RJ-45 接头 的 排 


线 见 图 9-3。 
12345678 12345678 12345678 12345678 
一 、 直 连 线 互联 二 、 交 叉 互联 
网 线 的 两 端 均 按 T568B 接 网 线 的 一 端 按 T568B 接 ， 另 一 端 按 T568A 接 
1. 计算 机 一 一 一 计算 机 ， 即 对 等 网 连接 


1. 计算 机 一 一 一 ADSL 调 制 解 调 器 
2. ADSL 调 制 解 调 器 一 一 ADSL 路 由 器 的 WAN 口 | ”2. 集线器 一 一 一 集线器 
3. 计算 机 一 一 一 ADSL 路 由 器 的 LAN 口 3. 交换 机 一 一 交换 机 
4. 计算 机 一 一 一 集线器 或 交换 机 4. 路 由 器 一 一 路 由 器 


图 9-3 网 线 RJ-45 接头 (水 晶 头 ) 排 线 示意 图 
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制作 直通 网 线 时 ,两 端 可 以 都 是 TIA/EIA 568A 线 序 ,也 可 以 都 是 TIA/EIA 568B 的 
线 序 。 也 就 是 说 , 线 缆 两 端的 线 序 必须 一 致 ,因此 称 之 为 直通 线 缆 。 

制作 交叉 网 线 时 ,一 端 采 用 TIA/ EIA 568A 线 序 , 另 一 端 就 必须 采用 TIA/ EIA 568B 线 序 。 

在 只 用 双 绞 线 的 以 太 网 线 线 与 网 络 设 备 连 接 时 ,要 注意 : 异种 设备 相连 时 用 直通 线 , 同 
种 设备 相连 时 用 交叉 线 。 比 如 PC 与 交换 机 相连 时 用 直通 线 , 交 换 机 与 其 他 交换 机 相连 时 
用 交叉 线 。 当 然 有 特殊 情况 , 当 把 一 台 PC 与 一 台 路 由 器 相连 时 ,必须 使 用 交叉 线 缆 。 


9.4.2 广域网 的 网 络 连 接 


1. 广域网 概述 

按照 提供 的 网 络 带宽 的 不 同 , 可 以 将 广域网 分 为 窄带 和 宽带 两 大 类 。 

现 有 的 窄带 公共 网 络 包 括 PSTN( 公 共 电 话 交换 网 ) ISDN( 综 合 数字 业务 网 ) .DDN ( 数 
字数 据 网 ) 、X. 25 网 .Frame Relay( 帧 中 继 ) 网 等 , 现 有 的 宽带 网 络 一 般 有 ATM( 异 步 传 输 模 
式 ) 和 SDH( 同 步 数字 体系 ) 两 种 。 

广域网 按照 线路 类 型 可 分 为 ISDN 网 X. 25 网 、 帧 中 继 网 .ATM 网 等 类 型 ,网 络 设备 因 
此 也 相应 有 ISDN 接口 .同步 串口 .异步 串口 ATM 接口 等 。 

网 络 设备 在 实现 广域网 连接 时 主要 通过 串 行 端口 来 实现 , 串 行 端口 可 以 通过 连接 多 种 
中 间 设 备 来 实现 到 多 种 广域网 的 互联 。 

路 由 器 的 端口 包括 两 种 类 型 : 固定 端口 和 模块 化 端口 。 路 由 器 的 每 个 固定 端口 都 有 一 
个 端口 类 型 和 编号 (如 Ethernet 0) 。 而 每 个 模块 化 端口 除了 具有 端口 类 型 和 编号 以 外 ,还 
有 覃 编号 (如 路 由 器 的 同步 串 行 端口 : Serial 0/1) 。 

2. DTE 和 DCE 

DTE(Data Terminal Equipment), 即 数据 终端 设备 ,是 指 所 有 具有 作为 二 进 制 数字 数 
据 源 点 或 终点 能 力 的 单元 ,如 计算 机 、 打 印 机 ,传真 机 等 设备 。 

DCE(Data Circuit Terminal Equipment) , 即 数据 通信 设备 或 者 数据 电路 终端 设备 ,是 
指 任 何 能 够 通过 网 络 发 送 和 接收 模拟 或 数字 数据 的 功能 单元 。 

DTE 产生 了 包含 一 定 信息 的 二 进 制 数字 数据 ,但 这 种 数据 不 适合 直接 在 通信 双方 之 间 
的 介质 (或 网 络 ) 上 传输 ,因此 引入 了 DCE 来 对 二 进 制 数 字数 据 进 行 调制 或 转换 等 工作 ,使 
其 适 于 远 距离 传输 。 例 如 调制 解 调 器 就 是 一 种 DCE 设备 。 在 发 送 数据 的 时 候 DCE 提供 时 
钟 ,对 于 与 终端 相连 接 的 路 由 器 都 是 DTE, 一 种 常见 的 通信 路 径 为 DTE 一 ->DCE 一 …> 
DCE 一 -之 DTE, 如 图 9-4 所 示 。 

[SS + sg Modem 
CSUIDSU 
DTE DCE 
J 业务 提供 商 , 
DTE DCcE “ 反 DCE DTE 


9-4 DTE 和 DCE 


一 般 来 说 ,适配器 连 线 的 两 端 接头 会 采用 不 同 的 外 形 ( 区 分 DTE 和 DCE) ,如果 要 把 路 
由 器 背 对 背 连 接 起 来 ,那么 其 中 一 台 路 由 器 就 成 为 DTE, 而 另 一 台 路 由 器 就 必须 为 DCE。 


但 是 DTE 和 DCE 的 线 缆 应 该 是 对 应 的 ,区 分 DTE 和 DCE 线 缆 的 方法 很 简单 : 主要 看 它 
的 连接 接口 ,其 中 * 凸 ?的 是 DTE 线 缆 , 四 ?的 是 DCE 线 缆 。 

3. 网 络 设备 的 串口 

网 络 设备 的 串口 按照 工作 模式 可 分 为 同步 串口 和 异步 串口 。 

1) 同步 串口 

在 路 由 器 的 广域网 连接 中 ,路 由 器 的 “同步 串口 "CSERIAL) 应 用 很 多 ,这 种 端口 主要 用 
于 连接 目前 应 用 广泛 的 DDN、 帧 中 继 (Frame Relay) 等 网 络 ,在 企业 网 之 间 有 时 也 通过 
DDN 等 广域网 连接 技术 进行 专线 连接 。 这 种 同步 端口 一 般 要 求 速率 非常 高 ,如 图 9-5 所 示 
为 高 速 同步 串口 。 


9-5 同步 串口 


2) 异步 串口 

异步 串口 (ASYNC) 主 要 是 应 用 于 Modem 或 Modem 池 的 连接 ,可 以 实现 远程 计算 机 
通过 公用 电话 网 拨 入 网 络 。 因 为 它 并 不 要 求 网 络 的 两 端 保持 实时 同步 ,只 要 求 能 连续 即 可 ， 
所 以 这 种 异步 端口 相对 于 上 面 介绍 的 同步 端口 来 说 速率 较 小 ,如 图 9-6 所 示 为 异步 串口 。 
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9-6 ”异步 串口 


4. 广域网 中 常见 的 接口 类 型 
广域网 中 常见 的 接口 类 型 主要 有 EIA/TIA-232、EIA/TIA-449、V. 24、V. 35、ISDN BRI 接 


口 等 ,限于 篇 幅 , 这 里 不 一 一 介绍 。 
9.5 网 络 设备 管理 


9.5.1 网 络 设备 管理 方式 

用 户 和 Cisco 路 由 器 或 交换 机 交互 的 最 普通 的 方法 是 通过 Cisco IOS 软件 提供 的 命令 
行 界面 CLICCommand-Line Interface) 。 如 果 要 通过 命令 行 接口 操作 Cisco 设备 ,就 必须 通 
过 某 种 形式 实现 对 路 由 器 的 访问 ,访问 方式 包括 带 内 (in-band) 管 理 和 带 外 (out-of-band) 管 


击 必 测 
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理 方式 。 

1. 带 内 (in-band) 管 理 

带 内 管理 是 指 网 络 中 的 网 管 数 据 和 业务 数据 在 相同 的 链 路 中 传输 , 带 内 管理 包括 
Telnet 方式 、TFTP 服务 器 、Web 服务 或 网 管 软件 等 ,如 图 9-7 右 侧 所 示 。 


带 外 管理 带 内 管理 


9-7 设备 管理 方式 


1) Telnet 方式 

要 通过 Telnet 方式 管理 路 由 器 ,可 以 通过 以 下 两 种 方式 : 

(1) 利用 终端 仿真 程序 。 

在 一 台 PC 上 运行 终端 仿真 程序 (如 Windows 操作 系统 下 的 超级 终端 ), 弹 出 “连接 描 
述 ” 对 话 框 ,如 图 9-8 所 示 。 

在 该 对 话 框 中 的 “名 称 ” 文 本 框 里 输入 连接 名 称 , 并 在 “图 标 ” 区 域 中 选择 图 标 。 这 里 输 
入 sde。 单 击 “ 确 定 ” 按 钮 ,会 弹出 如 图 9-9 所 示 “ 连 接 到 ”对 话 框 。 


Nl sss 


输入 名 称 并 为 该 连接 选择 图 标 : 请 输入 要 呼叫 的 主机 的 详细 信息 
名 称 0 


主机 地 址 0D 192. 168.1.254 


sde 


图 标 CL): 端口 号 咖 ) 23 


FFEIIE 


连接 时 使 用 0D TCP/IP MWinsock) 


CC 本 LW ] 


图 9-8 “连接 描述 ”对 话 框 图 9-9 “连接 到 ”对 话 框 


在 “连接 时 使 用 ”下 拉 列 表 框 中 选择 TCP/IP(Winsock) 选 项 ,这 时 “端口 号 "文本 框 会 自 
动 为 23, 在 该 对 话 框 中 的 “主机 地 址 ”文本 框 中 输入 路 由 器 或 交换 机 的 地 址 。 然 后 单 击 “ 确 
定 ” 按 钮 即 可 连接 路 由 器 或 交换 机 。 

(2) 利用 网 络 操作 系统 所 提供 的 Telnet 功能 。 

也 可 以 利用 网 络 操作 系统 (如 Windows 操作 系统 ) 所 提供 的 Telnet 功能 来 管理 路 由 器 
或 交换 机 。 依 次 单 击 “开始 ”一 “程序 ”一 附件 ”一 ”命令 提示 符 ” 命 令 , 打 开 * 命 令 提示 符 ” 窗 


口 ,在 命令 提示 符 光 标 处 输入 “telnet 二 ip address 二 ”, 这 里 输入 “telnet 192. 188. 1. 254”; 然 
后 按 回 车 键 执 行 该 命令 即 可 访问 路 由 器 或 交换 机 。 

2) TFTP 服务 器 

简单 文件 传输 协议 (Trivial File Transfer Protocol, TFTP) 可 以 用 来 传输 IOS 映像 .发 
送 和 接收 Cisco 路 由 器 配置 文件 ,TFTP 更 适合 于 备份 服务 器 。 当 对 配置 进行 改变 时 ,可 以 
将 配置 文件 保存 到 TFTP 服务 器 上 ,这 样 即使 出 现 了 故障 ,也 能 够 迅速 进行 恢复 。 

3) Web 服务 或 网 管 软件 

Web 服务 器 允许 使 用 Web 界面 管理 和 监视 Cisco 路 由 器 或 交换 机 等 网 络 设 备 ,但 是 ， 
并 不 是 所 有 的 Cisco 的 产品 都 支持 基于 Web 页 面 的 管理 ,可 以 通过 访问 Cisco Web 站 点 ， 
以 确认 特定 的 路 由 器 或 交换 机 是 否 支 持 Web 管理 。 

另外 ,还 可 以 利用 Cisco 公司 的 一 些 网 络 管理 软件 (如 CiscoWork 200) 来 管理 网 络 设 
备 , 利 用 这 些 管理 软件 非常 友好 的 图 形 界面 ,就 可 以 启动 路 由 器 并 可 以 实现 单 点 管理 , 它 从 
某 种 程度 上 可 以 替代 命令 行 界面 ,但 是 它们 并 不 能 提供 所 有 的 功能 ,初始 配置 仍 需 通过 命令 
行 方式 来 实现 。 

2. 带 外 (Cout-of-band) 管 理 

带 外 管理 是 指 通过 专门 的 网 管 通道 实现 对 网 络 的 管理 ,将 网 管 数据 与 业务 数据 分 开 。 
网 管 数据 与 业务 数据 分 离 , 可 以 提高 网 管 的 效率 与 可 靠 性 ,也 有 利于 提高 网 管 数据 的 安 
全 性 。 

带 外 管理 一 般 是 通过 路 由 器 或 交换 机 上 的 CON 和 AUX 接口 进行 的 ,如 图 9-10 所 示 ， 
CON 端口 是 Console( 控 制 ) 的 简写 , 它 是 访问 CLI 的 最 好 的 方式 。 要 访问 给 端口 ,需要 配 
置 全 反 转 式 的 RJ-45 线 缆 和 一 个 9 针 或 25 针 的 适配器 直接 连接 至 计算 机 的 串口 ,RJ-45 连 
接 器 上 的 5、2、4、1 根 线 与 其 他 连接 器 上 的 2、5、1、4 根 线 相对 应 。 这 样 其 每 对 线 缆 在 其 反 向 
端 进行 交换 ,使 得 发 送 端 能 够 接收 ,接收 端 也 能 够 发 送 。 

依次 单 击 * 程 序 ” 盖 附件 ”通信 ”超级 终端 ”命令 ,启动 Windows 自 带 终端 仿真 程 
序 “ 超 级 终端 >。 对 于 新 路 由 器 来 说 ,在 开始 工作 之 前 ,必须 首先 使 用 该 端口 进行 配置 。 弹 出 
“连接 描述 ?对 话 框 ,在 该 对 话 框 中 的 “名 称 ” 文 本 框 里 输入 连接 名 称 ,并 在 “图 标 ” 区 域 中 选择 
图 标 。 单 击 “ 确 定 ” 按 钮 ,会 弹出 “连接 到 ”对 话 框 。 在 “连接 时 使 用 ”下 拉 列 表 框 中 选择 
COMI 选项 ,然后 单 击 “ 确 定 ” 按 钮 ,弹出 如 图 9-10 所 示 的 “COMI1 属性 ”对 话 框 。 在 “每 秒 位 
数 "“ 数 据 位 >“ 奇 偶 校 验 "“ 停 止 位 >“ 数 据 流 控制 ?下拉 列表 框 中 分 别 选 择 9600、8、“ 无 ”、 
1“ 无 选项。 或 者 单 击 * 还 原 为 默认 值 ?按钮 。 单 击 “ 确 定 ” 按 钮 就 可 登录 到 路 由 器 或 交换 
机 上 。 

AUX 也 称 为 辅助 端口 ,为 异步 端口 ,主要 用 于 远程 配置 ,也 可 用 于 拨号 连接 ,还 可 通过 
收发 器 与 Modem 进行 连接 。AUX 端口 与 Console 端口 通常 被 放置 在 一 起 ,因为 它们 各 自 
所 适用 的 配置 环境 不 一 样 。 


9.5.2 Cisco IOS 简介 


Cisco IOS(Internetwork Operating System ,互联 网 操作 系统 ) 是 一 种 基于 文本 方式 的 
操作 系统 ,通过 IOS 用 户 就 可 以 和 路 由 器 交换 机 进行 交互 。 
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图 9-10 “COMI1 属性 ”对 话 框 


1.Cisco IOS 引导 设备 启动 的 过 程 

Cisco 设备 如 路 由 器 与 计算 机 类 似 , 它 有 几 种 不 同类 型 的 内 存 , 每 种 内 存 用 于 特定 的 用 
途 来 协助 路 由 器 完成 相应 的 功能 。 为 了 更 好 地 理解 Cisco 设备 的 启动 过 程 ,下 面 需要 简单 
介绍 一 下 Cisco 中 的 内 存 的 作用 。 

1) 只 读 存储 器 (ROM) 

相当 于 PC 的 BIOS,Cisco 路 由 器 运行 时 首先 运行 ROM 中 的 程序 ,该 程序 主要 进行 加 
电 自 检 , 对 路 由 器 的 硬件 进行 检测 。 另 外 ,ROM 中 还 保存 了 一 个 备份 操作 系统 ,以 防 原 操 
作 系统 被 删除 或 破坏 。 

2) 随机 存储 器 (RAM) 

可 读 写 存储 器 ,该 内 存 中 的 内 容 在 路 由 器 重新 启动 或 系统 掉 电 时 会 完全 丢失 ,主要 用 来 
存储 运行 中 的 路 由 器 配置 和 与 路 由 协议 有 关 的 IOS 数据 结构 。 

3) 闪存 (Flash) 

闪存 是 一 种 可 擦 写 、 可 编程 的 ROM ,在 系统 掉 电 时 数据 不 会 丢失 。Flash 包含 IOS 及 
微 代 码 , 可 以 把 它 想象 为 和 PC 的 硬盘 功能 一 样 ,但 其 速度 快 得 多 , 它 用 来 存储 IOS 软件 映 
像 文件 并 可 以 通过 写 入 新 版 本 的 IOS 对 路 由 器 进行 软件 升级 。 

4) 非 易 失 RAM(NVRAM) 

其 中 包含 有 路 由 器 配置 文件 ,NVRAM 中 的 数据 在 路 由 器 重新 启动 或 系统 掉 电 时 不 会 
丢失 。 

Cisco IOS 引导 设备 启动 的 过 程 分 为 以 下 几 个 步 又: 

(1) 加 电 自 检 (POST)。 

(2) 加 载 并 运行 启动 引导 微 代码 。 

(3) 寻找 IOS。 

(4) 加 载 IOS。 

(5) 寻找 配置 文件 。 

(6) 加 载 配置 文件 。 


(7) 正常 运行 。 


2. IOS 的 用 户 界 面 


Cisco IOS 的 用 户 界面 类 似 UNIX 操作 系统 的 命令 行 界面 ,简称 CLI。Cisco IOS 提供 
了 一 些 工具 来 简化 使 用 命令 行 界面 的 过 程 ,其 中 一 个 工具 就 是 使 用 Tab 键 , 它 可 以 填充 一 
个 命令 参数 的 剩余 字符 。 有 时 使 用 简化 命令 ,可 以 使 用 Tab 键 把 命令 补充 完整 ,以 确保 所 
输 命令 正确 。 当 用 户 登录 到 路 由 器 后 ,根据 特定 的 功能 需要 进入 不 同 的 操作 模式 ,Cisco 路 
由 器 提供 如 表 9-1 所 示 的 基本 操作 模式 。 


表 9-1 CLI 基 本 的 操作 模式 


CLI 模 式 功能 描述 进入 方式 命令 行 的 提示 符 
能 够 提供 有 限 的 路 
由 器 信息 与 简单 的 
2 状态 查看 命令 ,不 | 登录 路 由 器 的 默认 模式 Router> 
能 对 路 由 器 的 配置 
进行 修改 
特权 模式 也 称 作 超级 用 户 模 
(Priviledged EXEC) 式 , 用 户 可 以 查看 和 | 在 用 户 模式 下 输入 : enable 并 回 车 | Router# 
修改 路 由 器 的 配置 
全 局 配置 模式 允许 更 改 具体 路 由 | 在 超级 用 户 模式 下 输入 : config 并 RU 二 
(Global Configuration) | 器 的 相关 配置 回 车 
端口 配置 模式 。 | 用 于 对 该 指定 端口 人 信和 二 本 的 大 由 Eee | Router 
(Interface Configuration) | 进行 相应 的 配置 _ (config-if)# 
# interface interface type number 
在 全 局 配置 模式 下 ,用 controller 命 
控制 器 配置 模式 用 于 配置 T1 或 El | 令 配置 T1 或 E1 端口 Router 
(Controller Configuration)| 端口 Router(config)# (config-controller) # 
controller el slot/port 或 number 
在 全 局 配置 模式 下 ,用 line 命令 指 
终端 线路 配置 模式 用 于 配置 终端 线路 | 定 具体 的 line 端口 Router(config) | Router 
(Line Configuration) 的 登录 权限 井 line number 或 {vty | aux | con}) | (config-line) # 
number 
在 全 局 配置 模式 下 ,用 Router 命令 
路 由 配置 模式 用 于 对 路 由 器 进行 | 指定 具体 的 路 由 协议 Router 
(Router Configuration) | 路 由 配置 Router (config ) # router protocol | (config-router)# 


[option] 


9.6 应 用 案例 1: Cisco 交换 机 的 基本 配置 


9.6.1 案例 内 容 


某 企 业 新 近 购 置 了 一 台 Catalyst 2960 交换 机 ,在 投入 网 络 以 后 要 进行 初始 配置 与 管 
理 ,需要 对 交换 机 进行 初始 化 配置 ,同时 为 方便 对 这 台 交 换 机 设备 进行 远程 管理 ,需要 给 交 
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换 机 标识 一 个 管理 IP 地 址 ,以 便 能 够 对 该 交换 机 进行 网 络 管理 ,使 得 在 办 公 室 等 场合 也 可 
以 对 设备 进行 远程 管理 ,然后 查看 和 测试 交换 机 基本 参数 配置 。 


9.6.2 案例 分 析 

该 交换 机 需要 进行 初始 化 配置 ,需要 命名 主机 名 称 ,配置 加 密使 能 密码 ,配置 虚拟 终端 
口令 等 。 同 时 为 使 该 交换 机 能 够 通过 网 络 管理 ,必须 给 它 标识 一 个 管理 IP 地 址 ,默认 情况 
下 CISCO 交换 机 的 VLAN 1 为 管理 VLAN ,为 该 VLAN 配 上 IP 地 址 ,交换 机 就 可 以 通过 


网 络 管理 了 。 
交换 机 的 配置 命令 执行 过 程 具 有 分 层 的 模式 ,为 安全 起 见 , 不 同 的 层次 可 以 使 用 的 配置 
命令 的 权限 也 不 同 。 具 体 分 层 及 操作 如 表 9-2 所 示 。 


表 9-2 交换 机 命令 操作 模式 及 对 应 的 命令 


命令 模式 访问 方法 提示 符 退出 方法 

用 户 模式 | 登录 switch> logout 

特权 模式 | 在 用 户 模 式 输入 en 或 enable switch# exit、logout 或 disable 
全 局 配置 | 在 特权 模式 输入 config t 或 configure terminal | switch(config) 井 exit、end 或 Ctrl 十 Z 
端口 配置 | 在 全 局 模式 int 端口 名 或 interface 端口 名 switch(config-if) # | exit 或 Ctrl 十 Z 


交换 机 的 几 种 模式 的 简单 说 明 如 下 。 

1. 用 户 模式 与 特权 模式 

用 户 模 式 用 交换 机 名 加 之 提示 符 标 识 。 在 用 户 模式 中 ,可 查看 交换 机 的 某 些 设置 。 在 
特权 模式 (用 # 符 号 标识 ) 中 ,可 使 用 不 同 的 show 命令 来 显示 交换 机 的 所 有 设置 。 


switch> /* 用 户 模式 

switch> enable /* 由 用 户 模式 切换 到 特权 模式 
switch# /* 特权 模式 

2. 配置 模式 


在 特权 模式 下 ,通过 输入 configure terminal 命令 可 进入 到 配置 模式 。 为 了 退出 配置 模 
式 , 可 使 用 end 命令 或 Ctrl 十 Z 组 合 键 。 

switch# configure terminal /* 进入 配置 模式 

switch(config) # end /* 退出 配置 模式 

switch# 

3. 交换 机 的 管理 方式 

交换 机 的 管理 方式 基本 分 为 两 种 : 带 内 管理 和 带 外 管理 。 

通过 交换 机 的 Console 端口 管理 交换 机 属于 带 外 管理 ; 这 种 管理 方式 不 占用 交换 机 的 
网 络 端口 ,第 一 次 配置 交换 机 必须 利用 Console 端口 进行 配置 。 

通过 Telnet 拨号 等 方式 属于 带 内 管理 。 


9.6.3 案例 实施 过 程 


(1) 按 图 9-11 连接 交换 机 和 PC 工作 站 。 
按照 如 图 9-11 所 示 的 网 络 拓扑 图 连接 网 络 设 备 , 也 可 用 Cisco packet Tracer 软件 来 


进行 网 络 拓扑 图 的 连接 绘制 。 


Console 
Switch 
【共有 及 所用 外 及 认 从 从 六 闪失 站 及 从 到 甩 儿 外 下 友人 
192.168.1.124 aD71 
NIC:192.168.1.2/24 
HOSTA 
全 
FC 
实际 交换 机 连接 示意 图 PT 模拟 器 图 


图 9-11 交换 机 的 基本 配置 


(2) 使 用 配置 线 将 PC 串口 与 交换 机 的 Console 口 相连 ,并 启动 PC 上 的 终端 仿真 程序 
(超级 终端 ) 。 
一 台 PC 上 运行 终端 仿真 程序 (如 Windows 操作 系统 下 的 超级 终端 ) ,弹出 “连接 描 
述 ” 对 话 框 ,如 图 9-12 所 示 。 
在 该 对 话 框 中 的 “名 称 ” 文 本 框 里 输入 连接 名 称 , 并 在 “图 标 ” 区 域 中 选择 图 标 。 这 里 输 
入 sde。 单 击 “ 确 定 ” 按 钮 ,会 弹出 如 图 9-13 所 示 “ 连 接 到 ”对 话 框 。 


请 输入 要 呼叫 的 主机 的 详细 信息 


主机 地 址 0D |192. 168.1.254 
请 口号 中 ) [2 | 


连接 时 使 用 QD : TCPAIF MWinsock) ~ 


确定][_ 取 涌 


图 9-12 “连接 描述 ”对 话 框 图 9-13 “连接 到 ”对 话 框 


在 “连接 时 使 用 ”下 拉 列 表 框 中 选择 TCP/IP(Winsock) 选 项 ,这 时 “端口 号 "文本 框 会 自 
动 为 23, 在 该 对 话 框 中 的 “主机 地 址 "文本 框 中 输入 路 由 器 或 交换 机 的 地 址 。 然 后 单 击 “ 确 
定 ?按钮 即 可 连接 交换 机 或 路 由 器 了 。 

(3) 配置 交换 机 主机 名 为 switchA .配置 加 密使 能 密码 为 123456 配置 虚拟 终端 口令 
为 dhy。 

通过 PC 的 超级 终端 程序 连接 交换 机 ,进入 交换 机 Switch 的 用 户 模式 : 


switch> enable /* 进入 Switch 的 特权 模式 
switch# disable /* 退出 Switch 的 特权 模式 
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switch > enable /* 重 新 进入 Switch 的 特权 模式 
switch# configure terminal /x 进入 Switch 的 全 局 模式 
switch(config) # hostname SwitchA /* 命 名 Switch 的 主机 名 称 为 switchR 
switchA(config) #enable password 123456 /x* 配置 加 密使 能 密码 为 123456 
switchA(config)#1ine vty 0 4 /* 配置 虚拟 终端 登录 
switchA(config— line) # password dhy /x* 配置 虚拟 终端 口令 为 dhy 


switchA(config— line) #1o0gin 
(4) 配置 交换 机 管理 IP 地 址 (192. 168. 1. 1) . 子 网 掩 码 (255. 255. 255. 0)、 上 默认 网 关 
(192. 168. 1. 254) 。 


switchA(config) # interface vlanl 

SwitchR(config- 证 ) 井 ip add 192.168.1.1 255.255.255.0 /* 配置 交换 机 管理 IP 地 址 为 (192. 168. 
/x*1.1)、 子 网 掩 码 (255.255.255.0) 

switchA(config - if)#no shutdown 

switchA(config— if)#exit 

switchA(config) # ip default - gateway 192.168.1.254 


(5) 配置 交换 机 端口 速度 (100Mbps) .端口 双 工 方式 (全 双 工 )。 


SwitchR(config) # int fa 0/1 
switchA(config — if)# speed auto 
SwitchR(config - if)#duplex auto 


(6) 通过 Telnet 方式 登录 到 交换 机 。 
在 hostA 上 ,进入 CMD, 执 行 下 列 命令 ， 


PC> telnet 192.168.1.1 
Trying 192.168.1.1 .….0pen 
User Access Verification 
Password: 

switchA> en 

Password: 

switchA# 


(7) 检查 交换 机 运行 配置 文件 内 容 。 


switchA# show running - config 


(8) 检查 交换 机 启动 配置 文件 内 容 。 
switchA# show startup - config 

(9) 检查 VLAN 的 参数 及 配置 。 

SwitchR# show vlan 

检查 端口 FastEthernet 0/1 的 状态 及 参数 。 
SwitchR# show interfaces fastEthernet 0/1 


(10) 检查 交换 机 MAC 地 址 表 的 内 容 。 


SwitchR# show mac - address - table 


总 结 : 通过 上 述 内 容 的 设置 , 便 完成 了 案例 中 的 交换 机 的 初始 化 配置 要 求 , 同 时 也 能 掌 
握 交 换 机 的 最 基本 初始 化 配置 过 程 和 方法 。 


9.7 应 用 案例 2: Cisco 交换 机 的 VLAN 配置 


9.7.1 案例 内 容 


某 一 公司 内 财务 部 、 销 售 部 的 PC 通过 2 台 交 换 机 实现 通信 ; 要 求 财 务 部 和 销售 部 的 
PC 可 以 互通 ,但 为 了 数据 安全 起 见 ,销售 部 和 财务 部 需要 进行 互相 隔离 , 现 要 在 交换 机 上 
做 适当 配置 来 实现 这 一 目标 。 


9.7.2 案例 分 析 


VLAN(Virtual Local Area Network) ,翻译 成 中 文 是 “虚拟 局 域 网 ”。VLAN 是 指 在 一 
个 物理 网 段 内 ,进行 逻辑 的 划分 ,划分 成 若干 个 虚拟 局 域 网 。 

VLAN 最 大 的 特性 是 不 受 物理 位 置 的 限制 ,可 以 进行 灵活 的 划分 。VLAN 具备 了 一 个 
物理 网 段 所 具备 的 特性 。 相 同 VLAN 内 的 主机 可 以 相互 直接 通信 ,不 同 VLAN 间 的 主机 
之 间 互 相 访 问 必须 经 由 路 由 设备 进行 转发 。 广 播 数据 包 只 可 以 在 本 VLAN 内 进行 广播 ,不 
能 传输 到 其 他 VLAN 中 。 

通过 在 交换 机 上 划分 VLAN, 可 将 一 个 大 的 局 域 网 划分 成 若干 个 网 段 ,每 个 网 段 内 
所 有 主机 间 的 通信 和 广播 仅 限于 该 VLAN 内 ,广播 帧 不 会 被 转发 到 其 他 网 段 , 即 一 个 
VLAN 就 是 一 个 广播 域 ,VLAN 间 是 不 能 进行 直接 通信 的 ,从 而 实现 了 对 广播 域 的 分 割 
和 隔离 。 

通过 在 局 域 网 中 划分 VLAN, 可 起 到 以 下 方面 的 作用 : 控制 网 络 的 广播 ,增加 广播 域 的 
数量 , 减 小 广播 域 的 大 小 。 便 于 对 网 络 进行 管理 和 控制 。VLAN 是 对 端口 的 逻辑 分 组 ,不 
受 任何 物理 连接 的 限制 ,同一 VLAN 中 的 用 户 可 以 连接 不 同 的 交换 机 ,并 且 可 以 位 于 不 同 
的 物理 位 置 ,增加 了 网 络 连接 、 组 网 和 管理 的 灵活 性 。 

VLAN 可 以 增加 网 络 的 安全 性 。 由 于 默认 情况 下 ,VLAN 间 是 相互 隔离 的 ,不 能 直接 
通信 ,对 于 保密 性 要 求 较 高 的 部 门 ,比如 财务 处 ,可 将 其 划分 在 一 个 VLAN 中 ,这 样 ,其 他 
VLAN 中 的 用 户 将 不 能 访问 该 VLAN 中 的 主机 ,从 而 起 到 了 隔离 作用 ,并 提高 了 VLAN 中 
用 户 的 安全 性 。VLAN 间 的 通信 ,可 通过 应 用 VLAN 的 访问 控制 列表 进行 ,从 而 实现 
VLAN 间 的 安全 通信 。 

1. VLAN 的 实施 方式 

1) 静态 VLAN 

静态 VLAN 就 是 明确 指定 各 端口 所 属 VLAN 的 设 定 方法 ,通常 也 称 为 基于 端口 的 
VLAN, 其 特点 是 将 交换 机 按 端口 进行 分 组 ,每 一 组 定义 为 一 个 VLAN, 属 于 同一 个 VLAN 
的 端口 , 既 可 来 自 一 台 交换 机 ,也 可 来 自 多 台 交换 机 , 即 可 以 跨越 多 台 交 换 机 设置 VLAN。 

静态 指定 各 端口 所 属 的 VLAN ,需要 对 每 一 个 端口 地 进行 设置 , 当 要 设 定 的 端口 数目 
较 多 时 ,工作 量 会 比较 大 ,通常 适合 于 网 络 拓扑 结构 不 是 经 常 变化 的 情况 。 静 态 VLAN 是 
目前 最 常用 的 一 种 VLAN 端口 划分 方式 。 
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基于 端口 的 VLAN 在 实现 上 包括 两 个 步骤 : 

(1) 首先 启用 VLAN( 用 VLAN ID 标识 ); 

(2) 而 后 将 交换 机 端口 指定 到 相应 VLAN 下 。 

2) 动态 VLAN 

动态 VLAN 是 根据 每 个 端口 所 连 的 计算 机 ,动态 设置 端口 所 属 VLAN 的 设 定 方 法 。 
动态 VLAN 通常 可 分 为 基于 MAC 地 址 的 VLAN、 基 于 子 网 的 VLAN 和 基于 协议 的 
VLAN 等 。 

基于 MAC 地 址 的 VLAN ,就 是 根据 端口 所 连 计算 机 的 网 卡 MAC 地 址 ,来 决定 该 端口 
所 属 的 VLAN。 在 这 种 方式 下 ,端口 所 属 的 VLAN ,不 是 事先 固定 的 ,而 是 由 所 连 计算 机 的 
MAC 地 址 来 决定 的 。 比 如 , 若 MAC 地 址 为 00-0C-6E-E1-1B-36 的 计算 机 被 设置 为 属于 
VLAN2, 则 该 台 计 算 机 无 论 接 到 交换 机 的 哪个 端口 ,其 所 连 端口 就 会 被 自动 划 归 为 
VLAN2。 

基于 子 网 的 VLAN ,是 根据 端口 所 连 计算 机 的 IP 地 址 来 决定 端口 所 属 的 VLAN 的 。 

基于 协议 的 VLAN ,是 根据 协议 字段 划分 的 (如 IP 协议 和 IPX 协议 )。 

2. 跨越 多 台 交 换 机 的 VLAN 设置 

在 实际 应 用 中 ,通常 需要 跨越 多 台 交 换 机 的 多 个 端口 划分 VLAN ,比如 ,同一 个 部 门 的 
员工 ,可 能 会 分 布 在 不 同 的 建筑 物 或 不 同 的 楼 层 中 ,此 时 的 VLAN ,就 将 跨越 多 台 交 换 机 。 

跨越 多 台 交 换 机 的 VLAN,VLAN 内 的 主机 彼此 间 应 可 以 自由 通信 , 当 VLAN 成 员 分 
布 在 多 台 交 换 机 的 端口 上 时 ,如 何 才 能 实现 彼此 间 的 通信 呢 ? 通过 让 交换 机 间 的 互联 链 路 
汇集 到 一 条 链 路 上 ,让 该 链 路 允许 各 个 VLAN 的 通信 流 经 过 ,这 样 就 可 解决 对 交换 机 端口 
的 额外 占用 ,这 条 用 于 实现 各 VLAN 在 交换 机 间 通 信 的 链 路 , 称 为 交换 机 的 汇聚 链 路 或 主 
干 链 路 (Trunk Link) ,如 图 9-14 所 示 。 


图 9-14 利用 汇聚 链 路 实现 各 VLAN 内 主机 跨 交换 机 的 通信 


在 引入 VLAN 后 ,交换 机 的 端口 按 用 途 就 分 为 了 : 访问 链 路 (Access Link) 端 口 和 汇聚 
链 路 (Trunk Link) 端 口 两 种 。 访 问 链 路 (Access Link) 端 口 通常 用 于 连接 客户 PC, 以 提供 
网 络 接 入 服务 。 该 种 端口 只 属于 某 一 个 VLAN, 并 且 仅 向 该 VLAN 发 送 或 接收 数据 帧 。 
端口 所 属 的 VLAN 通常 也 称 作 native vlan。 汇 聚 连 接 (Trunk Link) 端 口 不 隶属 于 某 个 
VLAN, 属 于 所 有 VLAN 共有 ,可 以 承载 所 有 VLAN 的 帧 ; 由 于 汇聚 链 路 承载 了 所 有 


VLAN 的 通信 流量 ,为 了 标识 各 数据 帧 属于 哪 一 个 VLAN ,为 此 ,需要 对 流 经 汇聚 链 路 的 数 
据 帧 进行 打 标 (tag) 封 装 , 以 附加 上 VLAN 信息 ,这 样 交换 机 就 可 通过 VLAN 标识 ,将 数据 
帧 转发 到 对 应 的 VLAN 中 。 

用 于 提供 汇聚 链 路 的 端口 , 称 为 汇聚 端口 。 由 于 汇聚 链 路 承载 了 所 有 VLAN 的 通信 流 
量 , 因 此 要 求 只 有 通信 速度 在 100Mbps 或 以 上 的 端口 ,才能 作为 汇聚 端口 使 用 。 如 图 9-15 
所 示 。 


SwitchA SwitchB 
= 汇聚 = 三 二 
ee 
iTIEEE 快速 以 大 网 | 和 ss 

am ge er 其 qm gn | 

一 一 一 一 一 一 me wn 
红 时 绿 红 黑 绿 
VLAN VLAN VLAN VLAN VLAN VLAN 


9-15 ”使 用 汇聚 链 路 方式 实现 跨 交 换 机 的 VLAN 内 部 连通 


目前 交换 机 支持 的 打 标 封装 协议 有 IEEE 802. 1Q 和 ISL。 其 中 IEEE 802. 1Q( 见 


图 9-16) 是 经 过 IEEE 认证 的 对 数据 帧 附加 VLAN 识别 信息 的 协议 ,属于 国际 标准 协议 , 适 
用 于 各 个 厂商 生产 的 交换 机 ,该 协议 通常 也 简称 为 dotlq。 
802.1Q 帧 
未 加 标签 的 | [加 标签 的 | 未 加 标签 的 


VLANI1 ”以太 网 帧 


图 9-16 交换 机 支持 的 打 标 封装 协议 IEEE 802. 1Q 


9.7.3 案例 实施 的 条 件 


物理 设备 : 交换 机 Cisco Catalyst 2960-24 两 台 , 带 有 网 卡 的 PC 工作 站 四 台 ( 至 少 两 
台 ), 双 绞 线 若干 条 。 
初始 学 习 阶 段 ,建议 使 用 Cisco PT 模拟 器 的 虚拟 实验 环境 。 本 处 的 Cisco PT 模拟 器 
版 本 为 Cisco Packet Tracer 5. 3。Cisco packet Tracer 模拟 器 的 软件 使 用 请 参照 相关 资料 。 
本 案例 中 交换 机 SwitchA 和 SwitchB 中 各 需要 划分 两 个 VLAN(vlan 2 和 vlan 3) ,并 
指定 给 对 应 的 PC 端口 ,网 络 设备 的 配置 信息 表 见 表 9-3。 
表 9-3 网 络 设备 配置 信息 表 


设备 接口 IP 地 址 子 网 掩 码 默认 网 关 
SwitchA Fa0/1-8 vlan 2 不 适用 不 适用 
SwitchA Fa0/9-16 vlan 3 不 适用 不 适用 
SwitchA Fa0/24 连接 SwitchB 不 适用 
SwitchB Fa/1-8 vlan 2 不 适用 
SwitchB Fa0/9-16 vlan 3 不 适用 
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续 表 
设备 接口 IP 地址 子 网 掩 码 默认 网 关 
SwitchB Fa0/24 连接 SwitchA 不 适用 不 适用 
HOST A NIC 192. 168. 0. 1 255. 255. 255. 0 不 用 
HOST B NIC 192. 168. 1.1 255. 255. 255.0 不 用 
HOST Y NIC 192. 168. 0.2 255. 255. 255.0 不 用 
HOST Z NIC 192. 168. 1.2 255. 255. 255.0 不 用 


9.7.4 案例 实施 过 程 
(1) 按 图 9-17 连接 交换 机 和 PC 工作 站 。 


按照 图 9-17 的 网 络 拓扑 图 连接 网 络 设备 ,也 可 用 Cisco Packet Tracer 软件 来 进行 网 络 


拓扑 图 的 连接 绘制 。 


HOSTZ 
19216812124 


图 9-17 跨 交 换 机 的 VLAN 主干 道 配 置 


(2) 只 在 交换 机 SwitchA 上 创建 两 个 VLAN: vlan 2 和 vlan 3。 


Switch> enable /* 切换 到 特权 模式 

Switch# configure terminal /* 切换 到 全 局 配置 模式 
Switch(config) # hostname SwitchA /* 命名 交换 机 主机 名 为 SwitchA 
SwitchA(config) # vlan 2 /* 建立 虚拟 局 域 网 vlan2 
SwitchA(config— vlan) #exit /* 退 出 

SwitchA(config) #vlan 3 /* 建立 虚拟 局 域 网 vlan3 


SwitchA(config— vlan) # exit 
SwitchA(config) # exit 
SwitchA# 


交换 机 SwitchB 的 VLAN 配置 同 SwitchA 。 
(3) 将 各 交换 机 上 的 端口 1 一 8 分 配 成 vlan 2 的 成 员 ,将 交换 机 上 的 端口 9 一 16 分 配 成 
vlan 3 的 成 员 。 


SwitchA# configure terminal 

SwitchR(config) # int range f0/1-8 /* 将 端口 1 一 8 分 配 成 vlan2 的 成 员 
SwitchR(config- 证 -range) # switchport access vlan 2 

SwitchA(config— if — range)#exit 


SwitchR(config) # int range f0/9 - 16 /=* 将 端口 9 一 16 分 配 成 vlan2 的 成 员 
SwitchR(config- if ~ range) # switchport access vlan 3 
SwitchA(config— if)#no shutdown /* 启用 该 端口 


SwitchA(config— if — range)# exit 
SwitchA(config) # exit 
SwitchA# exit 


交换 机 SwitchB 的 端口 配置 同 SwitchA。 

(4) 将 工作 站 HostA 接 入 交换 机 SwitchA 上 的 端口 1 一 8 中 的 某 个 端口 。 
(5) 将 工作 站 HostY 接 入 交换 机 SwitchB 上 的 端口 1 一 8 中 的 某 个 端口 。 
(6) 将 工作 站 HostB 接 入 交换 机 SwitchA 上 的 端口 9 一 16 中 的 某 个 端口 。 
(7) 将 工作 站 HostZ 接 人 交换 机 SwitchB 上 的 端口 9 一 16 中 的 某 个 端口 。 
(8) 按 图 9-17 配置 各 工作 站 IP 地 址 . 子 网 掩 码 信息 。 

(9) 将 交换 机 SwitchA 和 SwitchB 的 第 24 号 端口 设置 成 为 主干 道 接口 。 
SwitchA(config) # int £0/24 


SwitchA(config) # switchport mode trunk 
SwitchB 的 配置 同 SwitchA。 


(10) 测试 同一 VLAN 内 工作 站 的 连通 性 。 


hostA 能 否 ping 通 hostY? 
hostB 能 否 ping 通 host2? 


(11) 测试 不 同 VLAN 间 工 作 站 的 连通 性 。 


hostA 能 否 ping 通 hostB? 
hostA 能 否 ping 通 hostZ? 


测试 结果 应 为 : 同属 一 个 VLAN 的 hostA、hostY 和 hostB、hostZ 能 PING 通 , 不 同 
VLAN 间 不 能 PING 通 ,如 检查 不 能 通过 , 则 前 面 的 命令 可 能 出 错 ,请 按 任务 步骤 逐一 
检查 。 

(12) 检查 交换 机 上 的 VLAN 相关 信息 。 


SwitchA# show vlan 


(13) 检查 交换 机 上 的 主干 道 相关 信息 。 


SwitchA# show int f0/24 trunk 
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9.8 应 用 案例 3: Cisco 路 由 器 的 静态 路 由 配置 


9.8.1 案例 内 容 


学 校 有 新 旧 两 个 校区 ,每 个 校区 是 一 个 独立 的 局 域 网 ,为 了 使 新 旧 校区 能 够 正常 相互 通 
信 ,共享 资源 。 每 个 校区 出 口 利用 一 台 路 由 器 进行 连接 ,两 台 路 由 器 间 学 校 申 请 了 一 条 
2Mbps 的 DDN 专线 进行 相连 ,要 求 对 路 由 器 做 适当 的 配置 以 实现 两 个 校区 的 正常 相互 
访问 。 


9.8.2 案例 分 析 


路 由 器 属于 网 络 层 设备 ,能 够 根据 IP 包头 的 信息 ,选择 一 条 最 佳 路 径 , 将 数据 包 转发 出 
去 。 实 现 不 同 网 段 的 主机 之 间 的 互相 访问 。 路 由 器 是 根据 路 由 表 进 行 选 路 和 转发 的 。 而 路 
由 表 就 是 由 一 条 条 路 由 信息 组 成 的 。 

生成 路 由 表 主 要 有 两 种 方法 : 手工 配置 和 动态 配置 , 即 静态 路 由 协议 配置 和 动态 路 由 
协议 配置 。 

静态 路 由 是 指 有 网 络 管理 员 手 工 配置 的 路 由 信息 。 静 态 路 由 除了 具有 简单 ,高效 、 可 靠 
的 优点 外 , 它 的 另 一 个 好 处 是 网 络 安全 保密 性 高 。 苦 态 路 由 的 一 个 缺点 就 是 不 能 自动 适应 
网 络 拓扑 的 变化 。 

默认 路 由 可 以 看 作 是 静态 路 由 的 一 种 特殊 情况 。 当 数据 在 查找 路 由 表 时 ,没有 找到 和 
目标 相 匹 配 的 路 由 表 项 时 ,为 数据 指定 路 由 。 

配置 静态 路 由 的 一 般 步 又 如 下 : 

(1) 为 路 由 器 每 个 接口 配置 IP 地 址 ,确定 本 路 由 器 有 哪些 直 连 网 段 。 

(2) 确定 网 络 中 有 哪些 网 段 属于 本 路 由 器 的 非 直 连 网 段 。 

(3) 添加 本 路 由 器 的 非 直 连 网 段 的 相关 路 由 信息 。 


9.8.3 案例 实施 的 条 件 


物理 设备 : Cisco Router 两 台 (Route_2811) ,交换 机 Cisco Catalyst 2960-24 两 台 , 带 有 
网 卡 的 PC 工作 站 两 台 , 串 行 通信 线 缆 一 条 , 双 绞 线 若 干 条 。 

初始 学 习 阶 段 ,建议 使 用 Cisco PT 模拟 器 的 虚拟 实验 环境 。 本 处 的 Cisco PT 模拟 器 
版 本 为 Cisco Packet Tracer 5. 3。Cisco Packet Tracer 模拟 器 的 软件 使 用 请 参照 相关 资料 。 

本 案例 实施 需要 的 网 络 拓扑 图 见 图 9-18 。 

Cisco Router 路 由 器 2811 需要 加 装 WIC-1T 或 WIC-2T 模块 (思科 模块 接口 卡 产品 类 
型 的 广域网 模块 ) 。 

路 由 器 的 串口 是 背 对 背 的 直接 连接 ,因此 .有 一 个 串口 要 配置 时 钟 速率 ,使 用 clock rate 
命令 进行 配置 ,配置 时 钟 速率 的 一 个 串口 为 DCE 端 。 

当 第 一 次 启动 路 由 器 时 , 它 并 没有 初始 配置 ,而 是 一 个 初始 化 配置 对 话 框 。 通 过 该 对 话 
框 路 由 器 会 提示 用 户 提供 最 基本 的 配置 功能 ,该 对 话 框 还 可 以 在 enable 模式 下 通过 命令 
setup 启动 。 对 话 框 中 所 有 的 问题 都 在 其 后 的 括号 中 有 答案 ,可 以 通过 按 回 车 键 来 接收 默 
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认 值 。 在 初始 化 对 话 框 的 任何 时 候 都 可 以 通过 按 Ctrl 十 C 键 来 中 止 启动 设置 过 程 或 在 启动 
设置 的 第 一 个 提示 符 下 输入 no 来 停止 启动 设置 过 程 。 建 议 在 路 由 器 启动 时 第 一 个 提示 符 
下 输入 no 来 停止 初始 化 配置 ,直接 登录 路 由 器 进行 其 他 设置 。 


9.8.4 案例 实施 过 程 


(1) 按 图 9-18 连接 路 由 器 .交换 机 和 工作 站 PC 。 

按照 上 面 的 网 络 拓扑 图 连接 网 络 设备 。 也 可 用 Cisco Packet Tracer 软件 来 进行 网 络 拓 
扑 图 的 连接 绘制 。 

(2) 进行 工作 站 PC 的 IP 信息 设置 及 连通 性 测试 。 


PCi， 
首先 进入 PC1 的 配置 界面 改名 为 PC1 。 
Es 192.168.1.2 


Submask: 255.255.255.0 
Gateway: 192.168.1.1 


PC2: 
首先 进入 PC2 的 配置 界面 改名 为 PC2 。 
了 192.168.2.2 


Submask: 255.255.55.0 
Gateway: 192.168.2.1 


PC1 ping PC2: 
ping 192.168.2.2 timeout 
(3) 路 由 器 Router0 的 配置 。 


Router > enable 
Router# configure terminal 
Router(config) # hostname Router0 /* 命名 路 由 器 主机 名 为 Router0 
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Router0(config) # interface fastEthernet 0/1 /x* 进 入 路 由 器 Router0 以 太 网 接口 fa 0/1 


Router0(config - 证 ) # no shutdown /* 激活 路 由 器 Router0 以 太 网 接口 fa 0/1 

Router0(config- if)#ip address 192.168.1.1 255.255.255.0 /x* 配置 fa 0/1 接口 的 IP 信息 

Router0(config) # exit /* 此 时 连接 路 由 器 Router0 及 PC1 的 网 络 指示 灯会 变 绿 

Router0(config) # int serial 1/0 /* 进 入 路 由 器 串 行 接口 S1/0 

Router0 (config — if)# ip address 192.168.3.1 255.255.255.0 /* 配置 S1/0 接口 的 IP 信息 

Router0(config— if)#clock rate 64000 /* 使 用 串 行 线 必须 设置 时 钟 才 可 通信 ,而 且 只 
/* 要 在 链 路 的 一 端 设置 , 另 一 端 不 必 设置 

Router0(config- 证 ) # no shutdown /* 激活 路 由 器 Router0 串 行 接口 S1/0 

Router0(config — if) #end 

Router0# 

(4) 路 由 器 Routerl 的 配置 。 

Router > enable 

Router# configure terminal 

Router(config) # hostname Routerl /* 命名 路 由 器 主机 名 为 Routerl 

Routerl (config) # interface fastEthernet 0/1 /* 进 入 路 由 器 Routerl 以 太 网 接口 fa 0/1 

Routerl (config — if)#no shutdown /* 激活 路 由 器 Routerl 以 太 网 接口 fa 0/1 

Routerl (config ~ if)# ip address 192.168.2.1 255.255.255.0 /* 配置 fa 0/1 接口 的 IP 信息 

Routerl (config) # exit /* 此 时 连接 路 由 器 Routerl 及 PC2 的 网 络 指示 灯会 变 绿 

Routerl (config)# int serial 1/0 /* 进 入 路 由 器 Routerl 串 行 接口 S1/0 

Routerl(config 证 ) # ip address 192.168.3.2 255.255.255.0 /x 配置 S1/0 接口 的 I 世 信 息 

Router1l(config - if)#no shutdown /* 激活 路 由 器 Routerl 串 行 接口 S1/0, 此 时 连 
/* 接 路 由 器 R1 及 路 由 器 R1 的 串口 线 的 网 络 指 
/* 示 灯会 变 绿 

Routerl (config ~ 证) # end 

Routerl# 

(5) 路 由 器 Router0 的 静态 路 由 配置 。 

Router0# enable 


Router0 # configure terminal 

Router0(config) # ip route 192.168.2.0 255.255.255.0 192.168.3.2 /* 设置 静态 路 由 : 192. 
/* 168.2.0 是 要 到 达 的 目标 网 络 ,255.255.255.0 为 目标 网 络 对 应 的 子 网 掩 码 , 192.168.3.2 为 与 本 路 
/* 由 器 直接 相连 的 下 一 跳 路 由 器 的 接口 地 址 。 在 静态 路 由 中 ,只 需要 指出 下 一 跳 的 地 址 ,至 于 以 后 如 
/* 何 指向 , 那 是 下 一 跳 路 由 器 考虑 的 事情 

Router0(config) # end 

Router0 # show ip route /* 显示 路 由 表 信 息 


Router0 # show ip route 

Codes: C- connected,S— static, 工 - IGRP,R— RIP,M- mobile,B— BGP 
D - EIGRP, EX — EIGRP external,O— OSPF, IA ~ OSPF inter area 
N1 ~ OSPF NSSA external type 1,N2 -- OSPF NSSA external type 2 
El — OSPF external type 1,E2 - OSPF external type 2,E- EGP 
i-IS-IS,L1-IS-IS level-1l,L2-IS-IS level -2,ia- IS- IS inter area 
* — candidate default,U— per ~ user static route,o— ODR 
P- periodic downloaded static route 

Gateway of last resort is not set 

心 192.168.1.0/24 is directly connected, FastEthernet0/1 

S 192.168.2.0/24 [1/0] via 192.168.3.2 

€ 192.168.3.0/24 is directly connected, Serial1/0 

Router0# 


(6) 路 由 器 Routerl 的 静态 路 由 配置 。 


Routerl # enable 

Routerl # configure terminal 

Routerl (config) # ip route 192.168.1.0 255.255.255.0 192.168.3.1 /* 设置 静态 路 由 
Routerl(config) # end 

Routerl # show ip route /* 显示 路 由 表 信息 


Routerl # show ip route 

Codes: C- connected,S- static, 工 - IGRP,R— RIP,M— mobile,B- BGP 
D - EIGRP, EX — EIGRP external,O— OSPF, IA ~ OSPF inter area 
N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2 
El - OSPF external type 1,E2 - OSPF external type 2,E- EGP 
i-IS-IS,L1-IS-IS level-1,L2- 1IS-IS level -2,ia- IS- IS inter area 
# — candidate default,U- per — user static route,o— ODR 
P- periodic downloaded static route 

Gateway of last resort is not set 

192.168.1.0/24 [1/0] via 192.168.3.1 

€ 192.168.2.0/24 is directly connected, FastEthernet0/1 

C 192.168.3.0/24 is directly connected, Seriall/0 

Routerl# 


(7) 验证 R1、R2 上 的 静态 路 由 配置 。 
(8) 将 PC1、PC2 主机 默认 网 关 分 别 设置 为 路 由 器 接口 fa 1/0 的 IP 地 址 。 
(9) PC1、PC2 主机 之 间 可 以 相互 通信 。 


9.9 应 用 案例 4: 路 由 器 动态 路 由 配置 


9.9.1 案例 内 容 


假设 校园 网 通过 一 台 三 层 交 换 机 连 到 校园 网 出 口 路 由 器 上 ,路 由 器 再 和 校园 外 的 另 一 
台 路 由 器 连接 。 现 要 做 适当 配置 ,实现 校园 网 内 部 主机 与 校园 网 外 部 主机 之 间 的 相互 通信 。 
为 了 简化 网 络 管理 维护 工作 ,学 校 决 定 采用 RIP v2 协议 实现 互通 。 


9.9.2 案例 分 析 


RIP(Routing Information Protocols ,路 由 信息 协议 ) 是 应 用 较 早 、 使 用 较 普 遍 的 IGP 内 
部 网 管 协议 ,使 用 于 小 型 同类 网 络 ,是 距离 矢量 协议 ; RIP 协议 是 以 跳 数 作为 衡量 路 径 开 销 
的 ,RIP 协议 里 规定 最 大 跳 数 为 15; 跳 计 数 16 则 表示 目标 不 可 达 。 

RIP 协议 有 两 个 版 本 : RIP vl 和 RIP v2.RIP vl 属于 有 类 路 由 协议 ,不 支持 VLSM ,以 
广播 形式 进行 路 由 信息 的 更 新 ,更 新 周期 为 30s; RIP v2 属于 无 类 路 由 协议 ,支持 VLSM， 
以 组 播 形 式 进行 路 由 更 细 。 

RIP 是 一 个 距离 矢量 的 路 由 协议 . 它 定 期 更 新 ,默认 时 间 是 30s, 也 就 是 说 ,如 果 刚 刚 发 
送 过 更 新 ,即使 网 络 拓扑 发 生 了 变化 ,路 由 器 也 不 进行 更 新 ,要 等 待 下 一 个 更 新 周期 才 发 送 
更 新 。 
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配置 动态 路 由 的 一 般 步骤 如 下 : 
(1) 为 路 由 器 每 个 接口 配置 IP 地 址 ,确定 本 路 由 器 有 哪些 直 连 网 段 。 
(2) 添加 本 路 由 器 的 直 连 网 段 ,根据 使 用 的 不 同 动 态 路 由 协议 ,配置 相关 信息 。 


(config - router)#default — information originate /* 在 RIP 域内 发 布 默认 路 由 
(config) # ip route 0.0.0.0 0.0.0.0 172.31.16.4 /* 创建 一 条 静态 路 由 
(config - router) # no auto - summary /* 在 类 路 由 边界 关闭 自动 汇总 功能 


9.9.3 案例 实施 的 条 件 


物理 设备 : Cisco Router 两 台 (Router_2811) ,交换 机 Cisco Catalyst 3560-24 一 人 台 , 带 
有 网 卡 的 工作 站 PC 两 台 , 串 行 通信 线 缆 一 条 ,直通 线 及 交叉 线 缆 若 干 条 。 

初始 学 习 阶段 ,建议 使 用 Cisco PT 模拟 器 的 虚拟 实验 环境 。 本 处 的 Cisco PT 模拟 器 
版 本 为 Cisco Packet Tracer 5.3。Cisco packet Tracer 模拟 器 的 软件 使 用 请 参照 相关 资料 。 

本 案例 实施 需要 的 网 络 拓扑 图 见 图 9-19 。 
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9-19 ”RIP 动态 路 由 配置 
Cisco Router 路 由 器 2811 需要 加 装 WIC-1T 或 WIC-2T 模块 (Cisco 模块 接口 卡 产品 
类 型 的 广域网 模块 ) 。 


路 由 器 的 串口 是 背 对 背 的 直接 连接 ,因此 ,有 一 个 串口 要 配置 时 钟 速率 ,使 用 clock rate 
命令 进行 配置 ,配置 时 钟 速率 的 一 串口 为 DCE 端 。 

在 本 案例 中 的 三 层 交 换 机 上 划分 两 个 VLAN ,分 别 为 vlan 10 和 vlan 20, 其 中 vlan 10 
用 于 连接 校园 网 主机 ,vlan 20 用 于 连接 R1。 设 备 配 置信 息 如 表 9-4 所 示 。 


表 9-4 网 络 设备 配置 信息 表 


VLAN 所 属 及 ; 
设备 接口 连接 IP 地 址 子 网 掩 码 默认 网 关 
S3560 Fa0/10 vlan 10 192. 168.1.1 | 255. 255. 255.0 不 适用 
S3560 Fa0/20 vlan 20 192. 168.3.1 | 255. 255. 255.0 不 适用 
R1 Fa0/0 连接 S3560 192. 168. 3.1 | 255. 255. 255. 0 不 适用 


续 表 


设备 接口 2 到 地 址 子 网 扼 码 默认 网 关 
R1 Se 2/0 连接 R2 192. 168.4.1 | 255.255. 255.0 不 适用 
R2 Fa 0/0 连接 pc2 192. 168. 2.1 不 适用 不 适用 
R2 Se 2/0 连接 R1 192. 168. 4.2 | 255. 255. 255. 0 不 适用 
Pel NIC 连接 S3560 192. 168.1.2 |255.255.255.0 | 192.168.1.1 
pc2 NIC 连接 R2 192. 168. 2.2 | 255.255.255.0 | 192.168.2.1 


9.9.4 案例 实施 过 程 


(1) 按 图 9-19 连接 路 由 器 、 交 换 机 和 PC 工作 站 。 


按照 上 面 的 网 络 拓扑 图 连接 网 络 设备 ,也 可 用 Cisco packet Tracer 软件 来 进行 网 络 拓 


扑 图 的 连接 绘制 。 主 机 和 交换 机 通过 直 连 线 ,主机 与 路 由 器 通过 交叉 线 连接 。 


(2) 进行 工作 站 PC 的 IP 信息 设置 。 
PC1: 
首先 进入 PC1 的 配置 界面 改名 为 PC1。 


IP; 192.168.1.2 
Submask: 255.255.255.0 
Gateway: 192.168.1.1 


PC2 : 
首先 进入 PC2 的 配置 界面 改名 为 PC2。 


IE 192.168.2.2 
Submask: 255.255.255.0 
Gateway: 192.168.2.1 


三 层 交 换 机 3560 的 配置 : 


/* 交换 机 设置 VEAN 及 端口 分 配 

Switch> enable /* 切换 到 特权 模式 

Switch# configure terminal /* 切换 到 全 局 配置 模式 
Switch(config) # hostname S3560 /* 命名 交换 机 主机 名 为 S3560 
S3560(config) # vlan 10 /* 建立 虚拟 局 域 网 vlan 10 
S3560(config - vlan) #exit /x* 退 出 

S3560(config)# vlan 20 /* 建立 虚拟 局 域 网 vlan 20 
S3560(config— vlan) # exit 

S3560(config) # exit 

S3560# interface fa 0/10 

S3560(config - 证 ) # switchport access vlan 10 /x 将 fa 0/10 端口 划 到 vlan 10 
S3560(config - 证 ) # ex 让 

S3560(config) # interface fa 0/20 

S3560(config - 证 ) # switchport access valn 20 /* 将 fa 0/20 端口 划 到 vlan 20 
S3560(config - 证 ) # ex 让 

S3560(config) # end 

S3560# show vlan 
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/=* 设 置 VLAN 端口 模式 
S3560#conf t 
S3560(config) # interface vlan 10 
S3560(config— if)# ip address 192.168.1.1 255.255.255.0 
S3560(config - if)#no shutdown 
S3560(config - if)#exit 
S3560(config) # interface vlan 20 
S3560(config— if)# ip address 192.168.3.1 255.255.255.0 
S3560(config - if)#no shutdown 
S3560(config— if)#end 


S3560# show ip route /* 显示 路 由 信息 
S3560# show runing /* 显示 系统 运行 文件 信息 

/* 交换 机 开启 路 由 功能 ,设置 RIP 路 由 
S3560#conft 
S3560(config) # ip routing /* 启动 路 由 功能 
S3560(config)#router rip /* 启动 RIP 路 由 
S3560(config) # network 192.168.1.0 /* 加 入 主 类 网 络 ,能 通过 vlan 10 的 
S3560(config) # network 192.168.3.0 /* 加 入 主 类 网 络 ,能 通过 vlan 20 的 
S3560(config)#version 2 /* 配置 RIP 版 本 是 2,RIP 协议 默认 运行 版 本 1 
S3560(config) # end 
S3560# show ip route /* 显示 路 由 信息 
记录 显示 结果 : 


显示 结果 中 的 C 为 直 连 路 由 、R 为 通过 RIP 学 来 的 路 由 、S 为 静态 路 由 。 
Cisco 路 由 器 R1 的 配置 : 


Router > enable 
Router # configure terminal 
Router(config) # hostname R1 /* 设 置 路 由 器 的 主机 名 为 R1 
R1(config) # interface fastEthernet 0/0 /x 进入 路 由 器 R1 以 太 网 接口 fa 0/0 
R1(config— if)#no shutdown /* 激活 路 由 器 R1 以 太 网 接口 fa 0/0 
R1(config - if)# ip address 192.168.3.1 255.255.255.0 /* 配置 fa 0/0 接口 的 IP 信息 
Rl(config - if)#exit 
Rl(config) # interface serial 2/0 /* 进入 路 由 器 R1 串 行 接口 2/0 
Rl(config- if)#no shutdown /* 激 活该 端口 
Rl(config- 证 ) # ip address 192.168.4.1 255.255.255.0 /* 设 置 该 端口 的 IP 信息 
R1(config ~ if)#clock rate 64000 /* 使 用 串 行 线 必须 设置 时 钟 才 可 通信 ,而 且 只 要 


/* 链 路 的 一 端 设置 , 另 一 端 不 必 设 置 。 
R1l(config— if)#end 
R1# show ip route 


记录 显示 结果 : 

Rl#conf 七 

Rl(config) # router rip /* 进入 RIP 路 由 协议 配置 模式 

R1(config) # network 192.168.3.0 /* 加 入 端口 fo/o 的 主 类 网 络 

R1(config) # network 192.168.4.0 /x* 加 入 串口 S2/0 的 主 类 网 络 

R1(config) # version 2 /x* 配置 RIP 版 本 2,RIP 协 议 默认 运行 的 是 版 本 1 


R1(config) # ex 让 


Cisco 路 由 器 R2 的 配置 : 


Router > enable 
Router # configure terminal 


Router(config) # hostname R2 /* 设置 路 由 器 的 主机 名 为 R2 
R2(config) # interface fastEthernet 0/0 。 /x 进入 路 由 器 R2 以 太 网 接口 fa 0/0 
R2(config— if)#no shutdown /* 激活 路 由 器 R2 以 太 网 接口 fa 0/0 
R2(config— if)# ip address 192.168.2.1 255.255.255.0 /* 配置 fa 0/0 接口 的 IP 信息 
R2(config— if)#exit 
R2(config) # interface serial 2/0 /x* 进 入 路 由 器 R2 串 行 接口 2/0 
R2(config— 证 ) # no shutdown /* 激活 该 端口 
R2(config— if)# ip address 192.168.4.2 255.255.255.0 /* 设置 该 端口 的 IP 信息 
R2(config— if)#clock rate 64000 /* 使 用 串 行 线 必须 设置 时 钟 才 可 通信 ,而 且 只 要 


/* 在 链 路 的 一 端 设置 , 另 一 端 不 必 设 置 
R2(config— 证 ) # end 
R2# show ip route 
记录 显示 结果 : 


R2#conf t 

R2(config) # router rip 
R2(config) # network 192.168.2.0 
R2(config) #netword 192.168.4.0 
R2(config)#version 2 
R2(config) # end 

R2(config) # show ip route 

记录 显示 结果 : 

验证 PC1、PC2 主机 之 间 可 以 互相 通信 。 
PC1 Ping PC2 

Ping 192.168.2.2 reply 


9.10 练习 案例 


1. 你 是 某 公 司 新 进 的 网 管 ,公司 要 求 你 熟悉 网 络 产品 ,首先 要 求 你 登录 路 由 器 ,了 解 、 
掌握 路 由 器 的 命令 行 操作 ; 然后 在 你 第 一 次 在 设备 机 房 对 路 由 器 进行 了 初次 配置 后 ,希望 
以 后 在 办 公 室 或 出 差 时 也 可 以 对 设备 进行 远程 管理 ,请 为 路 由 器 上 做 适当 的 初始 化 配置 。 

2. 假设 某 企 业 的 网 络 中 ,计算 机 PC1 和 PC3 属于 营销 部 门 ,PC2 和 PC4 属于 技术 部 
门 ,PC1 和 PC2 连接 在 S2126-1 上 ,PC3 和 PC4 连接 在 S2126-2 上 ,而 两 个 部 门 要 求 互 相隔 
离 , 本 实验 的 目的 是 实现 跨 两 台 交 换 机 将 不 同 端口 划 归 不 同 的 VLAN, 如 图 9-20 所 示 。 

步骤 提示 : 

(1) 在 交换 机 S2126G-1 上 创建 vlan 10 ,并 将 F0/1 端口 划分 到 VLAN10 中 ; 

(2) 在 交换 机 S2126G -1 上 创建 vlan 20, 并 将 F0/2 端口 划分 到 VLAN20 中 ; 

(3) 在 交换 机 S2126G-2 上 创建 vlan 10, 并 将 F0/1 端口 划分 到 VLAN10 中 ; 

(4) 在 交换 机 S2126G-2 上 创建 vlan 20, 并 将 F0/1 端口 划分 到 VLAN20 中 ; 

(5) 把 S2126G-1 和 S2126-2 相连 的 端口 F0/6 定义 为 tag vlan 模式 ; 

(6) 验证 PC1 和 PC3 能 相互 通信 ,PC2 和 PC4 能 相互 通信 ,但 PC2 和 PC3 不 能 相互 通信 。 


网 络 设 备 管 理 


地 @ 汽 


网 络 系 统 营 理 


9-20 实验 原理 图 


9.11 课 后 习题 


1. VLAN 的 划分 方法 有 哪些 ? 〈 ) 

A. 基于 设备 的 端口 B. 基于 协议 

C. 基于 MAC 地 址 D. 基于 物理 位 置 
2. VLAN 之 间 的 通信 需要 什么 设备 ? 〈 ) 

A. 网 桥 B. 二 层 交 换 机 C. 路 由 器 D. 集线器 
3. 请 列 出 交换 机 网 络 产品 实施 虚拟 局 域 网 的 优点 ( i 

A. 终端 设备 易于 添加 、 改 动 B. 减少 网 络 管理 量 

C. 隔离 广播 域 D. 提供 安全 性 
4. 下 列 所 述 的 网 络 设备 具有 连接 不 同 子 网 功能 的 是 ( Ys 

A. 网 桥 B. 二 层 交换 机 C. 集线器 

D. 路 由 器 E. 中 继 器 
5. 引入 VLAN 划分 的 原因 是 ( 加 

A. 降低 网 络 设备 移动 和 改变 的 代价 B. 增强 网 络 安全 性 

C. 限制 广播 包 ,节约 带 宽 D. 实现 网 络 的 动态 组 织 管理 
6. 以 太 网 使 用 的 物理 介质 主要 有 ( Xs 

A. 同 轴 电 缆 B. 双 绞 线 C. 光缆 D. V.24 电缆 
7. 为 了 扩大 网 络 范 围 , 可 以 使 用 ( ) 连 接 多 根 电 缆 ,放大 信号 。 

A. 中 继 器 B. HUB C. 路 由 器 D. 网 桥 
8. 一 个 VLAN 可 以 看 作 是 一 个 ( )。 

A. 冲突 域 B. 广播 域 C. 管理 域 D. 阻塞 域 
9. IEEE 组 织 制定 了 ( ) 标 准 ,规范 了 器 交换 机 实现 VLAN 的 方法 。 

A. ISL RR. WET €, 802 1a 
10. 路 由 器 是 一 种 用 于 网 络 互联 的 计算 机 设备 ,但 作为 路 由 器 ,并 不 具备 的 是 ( Ns 

A. 路 由 功能 B. 多 层 交 换 


C. 支持 两 种 以 上 的 子 网 协议 D. 具有 存储 ,转发 . 寻 径 功能 


ft: 
Eo 


ja 
四 


bt 
心 


. 路 由 器 网 络 层 的 基本 功能 是 ( 和 
A. 配置 IP 地 址 B. 寻找 路 由 和 转发 报 文 
C. 将 MAC 地 址 解释 成 IP 地 址 

. RIP 路 由 协议 的 最 大 跳 数 是 ( bh 


A 站 B. 16 C25 D. 1 
. 在 以 下 传输 介质 中 , 抗 电磁 干扰 最 高 的 是 ( Ns 

A. 双 绞 线 B. 光纤 C. 同 轴 电缆 D. 微波 
. WLAN 技术 是 采用 哪 种 介质 进行 通信 的 ? ( ) 

A. 双 绞 线 B. 无 线 电 C. 广播 D. 电缆 
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第 10 章 数据 备份 与 还 原 


10.1 导语 : 为 什么 要 备份 与 还 原 数据 


我 国 计 算 机 推广 应 用 飞速 发 展 ,人 们 在 生活 、 工 作 等 各 个 方面 已 离 不 开 计 算 机 ,但 有 关 
数据 丢失 造成 损失 的 报道 和 统计 资料 并 未 引起 震动 ,人 们 从 近年 来 报刊 报道 的 银行 、 证 券 业 
被 “电脑 罪犯 "攻击 造成 重大 经 济 损失 后 ,对 “信息 安全 ”逐渐 提高 了 认识 。 

数据 是 计算 机 网 络 系 统 中 最 宝贵 的 资源 。 数 据 的 变更 可 能 导致 资金 转移 ,数据 的 泄露 
可 能 直接 影响 公司 和 个 人 的 利益 和 信誉 。 数 据 , 只 要 进行 传输 、 存 储 和 交换 ,就 存在 安全 问 
题 , 若 未 采取 备份 和 恢复 手段 与 措施 ,就 会 导致 数据 丢失 。 一 旦 它们 属于 不 能 再 生 的 关键 数 
据 , 将 会 造成 无 法 弥补 和 估算 的 损失 。 维 护 数据 的 完整 性 和 准确 性 是 各 个 公司 系统 管理 人 
员 或 信息 中 心 主管 的 首要 职责 ,数据 备份 和 数据 恢复 是 保护 数据 的 最 后 手段 ,也 是 防止 “ 信 
息 攻击 ”的 最 后 防线 。 


10.2 备份 与 还 原 


数据 库 备 份 ,是 指 在 数据 丢失 的 情况 下 ,能 及 时 恢复 重要 数据 ,防止 数据 丢失 的 一 种 重 
要 手段 。 一 个 合理 的 数据 库 备 份 方案 ,应 该 能 够 在 数据 丢失 时 ,有 效 地 恢复 重要 数据 ,同时 
需要 考虑 技术 实现 难度 和 有 效 地 利用 资源 。 

在 做 备份 之 前 ,一 般 需 要 了 解 如 下 内 容 : 

(1) 数据 丢失 的 允许 程度 ; 

(2) 允许 的 故障 处 理 时 间 ; 

(3) 业务 处 理 的 频繁 程度 ; 

(4) 服务 器 的 工作 负荷 ; 

(5) 可 接受 的 备份 ; 

(6) 恢复 处 理 技术 难度 ; 

(7) 数据 库 的 大 小 ; 

(8) 数据 库 大 小 的 增长 速度 ; 

(9) 哪些 表 中 的 数据 变化 是 频繁 的 ,哪些 表 中 的 数据 是 相对 固定 的 ; 

(10) 哪些 表 中 的 数据 是 很 重要 的 ,不 允许 丢失 的 ,哪些 表 中 的 数据 是 允许 丢失 一 部 
分 的 ; 

(11) 什么 时 候 大 量 使 用 数据 库 ,导致 频繁 的 插入 和 更 新 操作 ， 

(12) 现 有 的 数据 库 备份 资源 (磁盘 、 磁 带 光盘) 有 了 哪些; 


(13) 有 无 可 能 为 数据 库 备 份 投入 新 的 设备 或 资金 。 


10.3 Windows Server 2008 备份 与 还 原 功 能 


传统 服务 器 系统 也 支持 数据 备份 .还 原 功能 ,那么 Windows Server 2008 系统 中 的 
Backup 功能 ,是 不 是 以 前 数据 备份 功能 的 一 次 简单 升级 或 改进 呢 ? 事实 上 ,Backup 功能 是 
一 种 全 新 的 .与 众 不 同 的 备份 .还 原 功 能 ,该 功能 组 件 是 Windows Server 2008 系统 中 一 个 
可 选 功能 特性 ,在 默认 状态 下 该 功能 并 没有 被 自动 安装 ; 善于 使 用 Backup 功能 ,可 以 高 效 
地 对 服务 器 系统 中 的 重要 数据 信息 进行 备份 存储 ,甚至 还 能 对 整个 操作 系统 进行 备份 、 
还 原 。 

1. 备份 速度 更 为 快速 

Windows Server 2008 系统 中 的 Backup 功能 的 操作 对 象 是 数据 块 或 磁盘 卷 ,该 功能 会 
自动 将 待 备份 的 内 容 处 理 成 数据 卷 集 , 而 每 一 个 数据 卷 集 又 会 被 服务 器 系统 当 作 是 一 个 独 
立 的 磁盘 块 , 因 此 在 进行 备份 数据 的 过 程 中 ,Backup 功能 是 以 磁盘 块 为 基础 进行 数据 传输 ， 
这 种 传输 数据 的 方式 速度 也 是 非常 快 的 ; 而 传统 的 数据 备份 .还 原 功能 是 以 普通 的 数据 文 
件 作 为 操作 对 象 的 ,在 传输 数据 的 时 候 也 是 一 个 个 文件 地 进行 传输 ,这 种 备份 数据 的 方式 速 
度 自 然 不 会 快 到 哪里 ; 很 显然 ,Windows Server 2008 系统 中 的 Backup 功能 备份 数据 的 速 
度 会 更 快 一 些 , 备 份 效 率 自然 也 就 会 更 高 一 些 。 

2. 备份 方式 更 为 灵活 

Windows Server 2008 系统 中 的 Backup 功能 提供 了 更 为 灵活 的 备份 方式 , 它 既 允许 进 
行 完整 备份 ,又 允许 采用 增 量 备份 ,甚至 还 允许 针对 服务 器 系统 中 的 某 个 特定 磁盘 卷 , 自 定 
义 选用 合适 的 备份 方式 。 上 默认 状态 下 ,Backup 功能 会 选用 完整 备份 方式 ,这 种 方式 适合 对 
整个 服务 器 操作 系统 进行 备份 存储 ,可 以 确保 服务 器 系统 日 后 遇 到 问题 时 能 够 在 很 短 的 时 
间 内 恢复 正常 工作 状态 ,而 且 它 不 会 影响 整个 系统 的 整体 运行 性 能 ,不 过 该 备份 方式 会 降低 
数据 备份 .还 原 的 速度 ; 如 果 待 备份 的 重要 数据 信息 频繁 发 生变 化 时 ,可 以 考虑 选用 增 量 备 
份 方式 ,因为 该 方式 会 以 智能 方式 对 前 一 次 备份 后 发 生变 化 的 数据 内 容 进 行 备份 ,这 样 就 能 
有 效 降 低 多 个 完整 备份 所 带 来 的 硬盘 空间 容量 过 度 消耗 现象 。 在 Windows Server 2008 系 
统 环境 下 ,Backup 功能 会 根据 待 备份 数据 内 容 的 性 质 , 自 动 选 用 合适 的 备份 方式 ,而 传统 的 
数据 备份 还 原 功 能 则 需要 用 户 进行 手工 设置 ,显然 Backup 功能 的 备份 方式 更 加 灵活 。 

3. 备份 类 型 更 为 多 样 

在 网 络 带宽 容量 不 断 增 大 的 今天 ,Windows Server 2008 系统 中 的 Backup 功能 也 为 备 
份 用 户 提 供 了 更 为 多 样 的 备份 存储 类 型 ,我 们 既 可 以 将 数据 内 容 直 接 备 份 保存 到 本 地 硬盘 
的 其 他 分 区 中 ,也 可 以 通过 网 络 传输 通道 将 数据 内 容 直 接 备 份 保存 到 网 络 文件 夹 ,理论 上 其 
至 还 能 将 其 备份 保存 到 Internet 网 络 中 的 任何 一 个 位 置 处 。 此 外 ,Windows Server 2008 系 
统 中 的 Backup 功能 也 增加 了 对 DVD 光盘 备份 的 支持 ; 由 于 现在 待 备 份 的 数据 内 容 容量 越 
来 越 大 ,为 了 方便 随身 携带 备份 内 容 , Backup 功能 允许 用 户 直 接 将 数据 内 容 刻 录 备 份 到 
DVD 光盘 中 ,用 户 能 够 随心 所 谷地 创建 包含 多 个 磁盘 卷 的 数据 备份 集 , 到 时 候 Backup 功能 
可 以 智能 地 利用 压缩 功能 将 多 个 磁盘 卷 的 数据 备份 集 一 次 性 写 入 到 DVD 光盘 中 ,日 后 进 
行 数据 还 原 操作 时 这 些 磁 盘 卷 的 数据 备份 集 也 会 一 次 性 被 还 原 出 来 。 
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网 络 系 统 营 理 


4. 还 原 效率 更 加 高 效 

Windows Server 2008 系统 中 的 Backup 功能 在 还 原先 前 备份 好 的 数据 内 容 时 ,往往 可 
对 目标 备份 内 容 进 行 智 能 识别 ,判断 它 是 采用 了 完全 备份 方式 还 是 增 量 备份 方式 ,如 果 发 现 
了 使 用 完全 备份 方式 ,那么 Backup 功能 会 自动 对 所 有 的 数据 内 容 执行 还 原 操作 ; 如 果 发 现 
使 用 了 增 量 备份 方式 ,那么 Backup 功能 会 自动 对 增 量 备份 内 容 进行 还 原 操 作 ; 而 传统 的 数 
据 备份 功能 在 执行 数据 还 原 操作 时 ,不 具有 智能 识别 备份 方式 的 功能 ,因此 在 还 原 采 用 增 量 
备份 方式 备份 的 数据 信息 时 ,只 能 逐步 地 还 原 , 很 明显 ,Backup 功能 的 数据 还 原 效率 更 加 
高 效 。 


10.4 卷 影 副本 


10.4.1 认识 卷 影 服务 


为 了 保护 共享 信息 的 安全 ,单位 局 域 网 往往 会 对 重要 的 共享 资源 进行 合适 的 共享 权限 
设置 以 及 安全 属性 设置 ,同时 会 对 共享 资源 进行 定期 备份 操作 ; 用 户 连接 到 局 域 网 中 后 , 通 
过 网 上 邻居 窗口 就 能 安全 访问 到 目标 共享 资源 ,从 而 大 大 方便 了 工作 。 不 过 ,经 过 一 段 时 间 
的 访问 之 后 ,许多 用 户 常常 抱怨 说 在 访问 共享 资源 的 过 程 中 ,被 临时 修改 或 意外 删除 的 文件 
无 法 像 系 统 回收 站 那样 被 快速 还 原 ; 要 是 网 络 管理 员 强 硬 地 在 服务 器 系统 中 对 目标 资源 进 
行 还 原 时 ,又 容易 影响 其 他 共享 访问 用 户 的 内 容 状 态 , 那 么 该 如 何 实现 按 需 恢复 的 目的 呢 ? 
其 实在 Windows Server 2008 系统 环境 下 .借助 该 系统 自 带 的 卷 影 副本 服务 ,就 能 轻松 实现 
按 需 恢复 的 目的 。 


10.4.2 疮 影 服务 的 作用 


卷 影 副 本 服务 在 Windows Server 2008 系统 环境 下 该 功能 得 到 了 明显 提升 ,巧妙 地 使 
用 该 功能 ,能 够 为 局 域 网 中 的 重要 共享 资源 创建 即时 点 副本 ,当局 域 网 用 户 不 小 心 删除 或 修 
改 了 其 中 的 共享 文件 时 ,可 以 尝试 通过 访问 对 应 共享 资源 的 卷 影 副本 ,来 将 目标 文件 内 容 快 
速 还 原 到 正确 的 状态 。 不 过 ,要 想 享 受 卷 影 副本 服务 ,不 但 需要 在 Windows Server 2008 服 
务 器 系统 中 对 卷 影 副本 服务 功能 进行 正确 的 设置 ,还 需要 在 客户 端 系统 中 安装 相应 的 控制 
程序 。 正 确 安装 设置 好 卷 影 副本 服务 后 ,应 该 在 平时 共享 资源 正常 的 情况 下 及 时 创建 即时 
点 副本 ,日 后 发 现 自己 的 共享 资源 不 小 心 被 删除 时 ,在 客户 端 系统 打开 目标 共享 资源 的 属性 
设置 窗口 ,之 后 在 对 应 窗口 的 “以 前 的 版 本 ?标签 页 面 中 ,选择 之 前 创建 好 的 某 个 时 间 点 的 卷 
影 副 本 ,就 能 轻松 将 不 小 心 删除 的 文件 恢复 到 特定 时 间 的 版 本 。 


10.5 应 用 案例 1: 数据 备份 与 还 原 


10.5.1 案例 内 容 


作为 公司 的 网 络 管理 员 ,你 必须 保证 公司 要 害 部 门 信息 的 安全 ,因此 你 计划 每 周 做 一 次 
备份 。 
为 DHY 这 样 规模 的 公司 做 备份 ,是 一 件 非常 耗 时 耗 力 的 工作 ,而 且 公司 资源 不 允许 你 


耗费 过 多 的 资源 进行 备份 工作 ,同时 你 自己 也 不 想 耗费 过 多 的 休息 时 间 从 事 备份 工作 。 
10.5.2 案例 分 析 


如 何 用 最 少 的 时 间 、 最 少 的 资源 提供 最 优质 的 、 最 安全 的 备份 是 本 案例 要 解决 的 问题 。 

在 这 里 ,作为 网 络 管理 员 ,你 应 该 做 出 一 个 备份 计划 : 

(1) 选择 一 周 中 的 某 一 天 (或 几 天 ) 进 行 备份 ,这 一 天 公司 的 计算 机 和 网 络 资源 较为 空 
闲 ,备份 工作 不 会 影响 公司 的 正常 工作 (如 周 六 晚上 )， 

(2) 选择 第 一 次 备份 的 类 型 ; 

(3) 每 次 备份 只 备份 有 过 变动 的 资源 。 


10.5.3 案例 实施 过 程 


对 于 只 有 一 个 硬盘 的 服务 器 来 讲 , 只 需 接 受 AD 安装 向 导 的 默认 安装 设置 即 可 。 但 是 ， 
必须 至 少 在 该 硬盘 上 创建 两 个 卷 : 一 个 卷 用 于 存储 关键 卷 数据 , 另 一 个 卷 用 于 存储 备份 。 
在 使 用 Windows Server Backup 或 Wbadmin. exe 命令 行 工 具备 份 DC 时 ,至 少 必须 备份 系 
统 状态 数据 ,以 便 使 用 备份 恢复 服务 器 。 用 于 存储 备份 的 卷 不 能 与 承载 系统 状态 数据 的 卷 
相同 。 构 成 系统 状态 数据 的 系统 组 件 由 安装 在 计算 机 上 的 服务 器 角色 来 决定 。 系 统 状 态 数 
据 至 少 包 括 下 列 数据 (根据 所 安装 的 服务 器 角色 ,还 可 能 包括 其 他 数据 ) : 

。 注册 表 。 

COM 十 类 注册 数据 库 。 

。 引导 文件 。 

。 ActiveDirectory 证 书 服务 (AD CS) 数 据 库 。 

。 承载 ActiveDirectory 数据 库 (Ntds. dit) 的 卷 。 

。 承载 Active Directory 数据 库 日 志文 件 的 卷 。 

。 SYSVOL 目录 。 

。 群集 服务 信息 。 

。 Microsoft Internet Information Services(IIS) 元 目录 。 
Windows 资源 保护 下 的 系统 文件 。 

1. 安装 备份 功能 

安装 Windows Server 2008 R2 自 带 的 Server Backup 工具 ,打开 服务 器 管理 器 ,选择 添 
加 功能 ,选中 Windows Server Backup 和 “命令 行 工具 ”选项 ,如 图 10-1 所 示 。Server 
Backup 提供 MMC 图 形 界面 备份 和 wbadmin 命令 备份 ,而 “命令 行 工具 ”提供 的 是 PowerShell 
cmdlet 备份 , 单 击 “ 下 一 步 ” 按 钮 进行 安装 ,直至 完成 。 

2. 计划 备份 

(1) 打开 Server Backup 工具 ,可 以 选择 “备份 计划 ”、“ 一 次 性 备份 “恢复 ”等 选项 , 选 
择 备份 计划 既 可 以 进行 每 天 一 次 的 备份 计划 ,也 可 以 进行 每 天 多 次 不 同时 间 点 的 备份 ,如 
图 10-2 所 示 。 

(2) 进行 下 一 步 时 ,推荐 备份 到 一 个 专用 于 存储 备份 的 硬盘 上 ,如 果 选 择 此 选项 ,该 硬 
盘 将 被 格式 化 ,专门 用 于 存储 备份 内 容 ,如 图 10-3 所 示 。 
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Windows Server Backup 


10-2 备份 计划 


3. 一 次 性 备份 
进行 自 定义 备份 即 可 以 选择 自己 要 备份 的 文件 ,推荐 使 用 备份 整个 服务 器 , 即 备 份 整个 
服务 器 的 数据 、 应 用 程序 、 系 统 状态 等 ,如 图 10-4 所 示 。 


[和 称 |# 签 
磁盘 2 Viware, Wi WIN-VT 2013_12.24... 20.00 GB 


次 性 备份 向 导 


10-4 备份 配置 


进行 下 一 步 , 选 择 存储 在 本 地 磁盘 上 (包括 移动 硬盘 ) ,如 图 10-5 所 示 。 
进行 下 一 步 时 ,由 于 备份 的 是 整个 服务 器 ,推荐 备份 到 一 个 移动 硬盘 上 。 此 处 先 假设 没 
有 备份 到 移动 硬盘 上 ,而 是 备份 到 了 本 地 的 D 盘 中 ,如 图 10-6 所 示 。 
如 果 选 择 本 地 的 磁盘 ,会 收 到 警告 提示 “将 会 从 备份 项 目 中 排除 目标 卷 ”。 第 
在 备份 项 目 中 ,本 该 是 有 D 盘 的 ,但 作为 测试 实验 中 没有 插入 移动 硬盘 , 故 用 D 盘 来 存 
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10-5 选择 备份 目标 类 型 


10-6 选择 备份 目标 


储备 份 内 容 ,同时 DD 盘 就 被 自动 排除 在 备份 项 目 外 了 ,选择 “备份 "备份 就 开始 进行 了 。 

4. 自 定义 备份 

(1) 选中 “ 自 定义 ” 单 选 按 钮 ,进行 下 一 步 , 如 图 10-7 所 示 。 

(2) 在 右 侧 的 备份 卷 选择 中 ,选择 需要 进行 备份 的 卷 ,添加 要 备份 的 项 目 ,如 图 10-8 
所 示 。 

备份 项 目 中 至 少 要 包含 的 项 目 是 “系统 状态 ”。C 盘 是 系统 盘 , 存 放 着 操作 系统 信息 ,如 


次 性 备份 向 导 


[ 


图 10-7 备份 配置 


图 10-8 选择 备份 项 目 


果 只 备份 C 盘 而 不 备份 系统 状态 ,那么 系统 恢复 后 ,AD 的 数据 库 就 恢复 不 上 ,恢复 操作 系 
统 没有 问题 。 
(3) 实验 中 备份 至 本 地 的 D 盘 即 可 ,如 图 10-9 所 示 。 
(4) 单 击 “ 备 份 "按钮 开始 进行 备份 ,直至 完成 为 止 。 
如 果 在 域 环境 下 AD 的 备份 只 用 备份 系统 状态 就 可 以 了 。 第 
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10-9 选择 备份 目标 


10.6 应 用 案例 2: 卷 影 副本 


10.6.1 案例 内 容 


DHY 公司 发 展 迅 速 ,为 了 业务 发 展 的 需要 ,公司 在 全 国 各 省 省 会 以 及 直辖 市 都 开设 了 
分 支 机 构 ,公司 每 天 的 业务 量 很 大 。 

DHY 公司 非常 注重 日 常 工作 信息 的 保留 ,因此 ,DHY 公司 经 常 进行 备份 工作 ,但 是 这 
些 备份 并 不 是 都 有 用 ,很 多 情况 下 ,公司 员工 以 及 网 络 管理 员 都 希望 回复 到 某 一 时 间 点 的 备 
份 状态 。 


10.6.2 案例 分 析 
使 用 Windows Server 2008 的 卷 影 副本 功能 可 以 很 好 地 解决 上 述 问题 。 
10.6.3 案例 实施 过 程 


1. 为 共享 资源 启用 卷 影 服务 

为 了 让 局 域 网 用 户 享受 到 卷 影 副本 服务 ,应 该 先 以 系统 管理 员 权 限 登录 进入 Windows 
Server 2008 服务 器 系统 。 

(1) 双击 桌面 上 的 “计算 机 ”图 标 , 在 其 后 窗口 中 找到 目标 共享 资源 所 在 的 磁盘 分 区 ,并 
布 击 该 分 区 图 标 ,从 弹出 的 快捷 菜单 中 执行 “属性 ”命令 ,打开 目标 磁盘 分 区 的 属性 设置 窗 
口 , 如 图 10-10 所 示 。 

(2) 单 击 该 设置 窗口 中 的 “ 卷 影 副 本 ”标签 ,打开 标签 设置 页 面 ,选中 共享 资源 所 在 的 目 
标 磁盘 卷 ,再 单 击 “ 启 用 ”按钮 ,随后 系统 屏幕 上 将 会 自动 弹出 提示 窗口 ,继续 单 击 “ 是 ”按钮 ， 


如 图 10-11 所 示 ,那么 Windows Server 2008 服务 器 系统 就 能 按照 默认 设置 启用 目标 共享 资 
源 的 卷 影 副本 功能 了 ,如 图 10-12 所 示 。 
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启用 卷 影 复制 


图 10-10 ”选择 共享 磁盘 图 10-11 确定 启用 卷 影 副本 


er 新 加 卷 EF:) 属性 


图 10-12 卷 影 副本 
2. 对 卷 影 服务 进行 合适 设置 第 
为 了 让 卷 影 副本 服务 按照 需求 进行 工作 ,在 正确 地 将 目标 共享 资源 的 卷 影 副本 服务 启 10 
用 成 功 后 ,需要 对 其 进行 合适 的 设置 : 章 


数据 备份 与 还 原 


网 络 系 统 营 理 


(1) 打开 * 卷 影 副本 ”标签 设置 页 面 ,选中 已 经 启用 了 卷 影 副本 服务 的 目标 磁盘 卷 , 再 单 
击 * 设 置 "按钮 ,打开 设置? 对话 框 ,在 该 对 话 框 中 对 存储 区 域 参数 .最 大 值 参 数 .运行 计划 参 
数 进 行 设 置 , 如 图 10-13 所 示 。 


图 10-13 卷 影 副 本 设置 


(2) 在 “存储 区 域 ? 选 项 区 域 ,设置 用 来 保存 卷 影 副 本 的 目标 磁盘 卷 ,默认 状态 下 
Windows Server 2008 服务 器 系统 会 指定 包含 源 文件 的 磁盘 卷 作为 保存 卷 影 副 本 的 目标 磁 
盘 卷 。 只 有 在 任何 卷 影 副本 还 没有 创建 的 时 候 , 才 能 调整 存储 磁盘 卷 ; 要 是 想 对 已 经 启用 
了 卷 影 副本 的 磁盘 卷 更 改 存储 位 置 时 ,必须 先 将 对 应 磁盘 卷 中 的 所 有 卷 影 副本 删除 掉 , 之 后 
才能 调整 存储 位 置 。 单 击 * 设 置 ? 对 话 框 中 的 “详细 信息 ”按钮 ,在 其 后 界面 中 还 能 查看 到 目 
标 磁盘 卷 中 最 大 的 存储 限制 以 及 已 经 使 用 的 空间 资源 大 小 。 

(3) 在 “最 大 值 ” 选 项 区 域 ,可 以 在 目标 磁盘 卷 上 指定 用 来 保存 共享 资源 卷 影 副本 的 最 
大 空间 量 ,默认 数值 是 目标 共享 资源 所 在 磁盘 卷 大 小 的 10%; 要 是 目标 共享 资源 与 对 应 的 
卷 影 副本 位 于 不 同 的 磁盘 位 置 , 那 么 这 个 时 候 应 该 将 “最 大 值 ” 参 数 调 整 为 专门 用 于 保存 卷 
影 副本 的 目标 磁盘 卷 大 小 。 

(4) 在 “计划 ”选项 区 域 ,可 以 根据 实际 需要 制订 创建 共享 资源 卷 影 副本 的 任务 计划 ; 
在 默认 状态 下 ,Windows Server 2008 服务 器 系统 每 天 会 对 目标 共享 资源 创建 两 个 卷 影 副 
本 ,同时 该 任务 计划 会 约定 在 星期 一 到 星期 五 之 间 每 天 上 午 7:00 以 及 中 午 12:00 执行 卷 影 
副本 创建 操作 。 单 击 “ 计 划 ” 按 钮 ,从 其 后 出 现 的 设置 窗口 中 ,可 以 自行 定义 创建 卷 影 副 本 的 
具体 工作 时 间 , 例 如 可 以 设置 一 天 只 要 创建 卷 影 副本 一 次 就 可 以 了 ; 完成 上 面 的 各 项 设置 
任务 后 ,再 单 击 “ 确 定 ” 按 钮 关闭 卷 影 副 本 设置 对 话 框 ,如 图 10-14 所 示 。 

3. 对 卷 影 副本 进行 管理 操作 

在 Windows Server 2008 服务 器 系统 长 时 间 和 运行 之 后 ,系统 中 可 能 会 创建 有 若干 个 卷 
影 副 本 ,为 了 方便 日 后 能 快速 找到 自己 需要 的 卷 影 副本 ,有 必要 在 服务 器 系统 中 对 这 些 卷 影 
副本 进行 一 些 有 效 的 管理 操作 。 在 对 卷 影 副本 进行 管理 操作 时 ,可 以 按照 下 面 的 操作 来 
进行 : 


图 10-14 卷 影 副本 计划 


(1) 以 系统 管理 员 权限 进入 Windows Server 2008 服务 器 系统 桌面 ,依次 单 击 “ 开 始 ” 一 
“程序 ”>“ 服 务 器 管理 器 ”命令 ,在 弹出 的 服务 器 管理 器 控制 台 窗 口中 ,光标 定位 于 左 侧 显 示 
区 域 中 的 “存储 ”选项 ,如 图 10-15 所 示 ,再 从 该 选项 下 面 选中 “磁盘 管理 ” 子 选项 。 


Windows Server Backup 


图 10-15 服务 器 管理 器 中 的 磁盘 管理 


(2) 右 击 磁盘 管理 子 项 ,从 弹出 的 快捷 菜单 中 依次 选择 “所 有 任务 "一 “配置 卷 影 副本 ” 
命令 ,打开 设置 对 话 框 ,在 该 对 话 框 中 可 以 根据 实际 需求 来 将 过 时 的 卷 影 副本 删除 掉 , 也 可 
以 手工 创建 新 的 卷 影 副本 ,还 可 以 将 整个 磁盘 卷 还 原 到 一 个 特定 的 时 间 点 上 。 当 然 ,在 对 整 
个 磁盘 卷 执 行 还 原 操作 时 ,必须 要 注意 该 操作 无 法 被 撤销 ,所 以 在 执行 该 操作 时 一 定 要 相当 
慎重 ,如 图 10-16 和 图 10-17 所 示 。 

4. 在 客户 端 上 执行 按 需 恢复 

在 Windows Server 2008 服务 器 系统 中 安装 .配置 好 卷 影 副本 服务 后 ,那么 局 域 网 用 户 
就 能 在 客户 端 上 打开 共享 文件 夹 的 属性 设置 窗口 ,并 从 对 应 的 “以 前 的 版 本 ”标签 页 面 中 来 
将 目标 共享 文件 夹 的 状态 恢复 到 过 去 设 定 的 某 个 时 间 点 的 状态 ,从 而 实现 按 需 恢复 的 目的 。 


数据 备份 与 还 原 


网 络 系 统 营 理 


图 10-16 选择 配置 卷 影 副 本 选项 图 10-17 配置 卷 影 副 本 


不 过 ,要 是 无 法 从 客户 端的 共享 文件 夹 属性 设置 窗口 中 看 到 “以 前 的 版 本 ”标签 选项 ,还 必须 
在 客户 端 系 统 中 安装 一 下 卷 影 副本 的 客户 端 程序 ,该 程序 可 以 从 Windows Server 2008 服 
务 器 系统 中 的 Windows\System32\clients\twclient\x86\twcli32. msi 处 获得 。 

当然 ,要 是 局 域 网 客户 端 计算 机 中 安装 使 用 了 Windows XP SP2 系统 或 Windows 
Server 2003 系统 时 ,那么 我 们 一 般 不 需要 在 对 应 系统 中 安装 卷 影 副本 客户 端 程序 ,因为 这 
些 系统 本 身 已 经 内 置 了 卷 影 副本 客户 端 程序 。 

当 我 们 尝试 把 某 个 目标 共享 资源 恢复 到 以 前 某 一 时 间 点 状态 时 ,就 可 以 先 从 客户 端 计 
算 机 中 打开 目标 共享 资源 的 属性 设置 窗口 ,之 后 单 击 其 中 的 “以 前 的 版 本 ”标签 ,并 在 对 应 标 
签 页 面 的 “文件 夹 版 本 ”列表 框 中 选择 一 个 合适 的 时 间 点 选项 ,再 单 击 “ 查 看 ”按钮 ,确认 当前 
选中 的 时 间 点 所 对 应 的 共享 资源 是 否 符合 恢复 要 求 , 要 是 符合 要 求 , 则 单 击 一 下 "还 原 ” 按 
钮 ,就 能 完成 共享 资源 的 数据 恢复 操作 了 。 

5. 使 用 卷 影 副本 的 事项 

为 了 更 好 地 使 用 卷 影 副本 服务 来 保护 重要 共享 资源 的 安全 ,需要 在 使 用 过 程 中 注意 下 
面 一 些 事项 ， 

首先 , 卷 影 副本 服务 只 能 用 于 启用 了 NTFS 格式 的 磁盘 分 区 上 ,其 他 格式 的 磁盘 分 区 
不 能 使 用 ,因此 必须 将 重要 的 共享 资源 保存 在 NTFS 格式 的 磁盘 分 区 中 ; 并 且 卷 影 副 本 服 
务 的 操作 对 象 是 磁盘 分 区 ,而 不 是 具体 的 某 个 共享 文件 夹 。 

其 次 ,要 删除 某 个 过 期 的 卷 影 副本 时 ,必须 先 将 创建 对 应 卷 影 副本 的 任务 计划 删除 掉 ， 
不 然 的 话 会 造成 任务 计划 失败 的 故障 现象 ; 同时 卷 影 副 本 服务 无 法 蔡 代 常 规 的 备份 工具 ， 
因此 应 该 定期 使 用 备份 工具 来 对 整个 服务 器 系统 进行 安全 备份 。 

再 次 ,应 该 根据 实际 需求 来 合适 设置 卷 影 副本 的 创建 时 间 点 以 及 创建 频率 ,尽量 不 要 在 
1 小 时 内 进行 多 次 创建 操作 ; 频繁 地 创建 卷 影 副本 ,会 消耗 服务 器 系统 宝贵 的 空间 资源 , 严 


重 的 话 还 能 拖累 服务 器 系统 的 运行 性 能 ; 过 多 或 过 少 地 创建 卷 影 副本 ,会 降低 卷 影 副本 服 
务 的 实际 作用 。 

最 后 ,每 一 个 磁盘 分 区 中 最 多 只 能 保存 64 个 卷 影 副 本 ,一 旦 创建 的 实际 卷 影 副本 数量 
超过 这 个 数值 时 ,那么 Windows Server 2008 服务 器 系统 就 会 自动 删除 旧 的 卷 影 副 本 ,并且 
被 删除 了 的 卷 影 副本 日 后 是 无 法 恢复 过 来 的 。 日 后 再 恢复 数据 时 ,数据 的 访问 权限 将 保持 
为 原 有 的 状态 。 


10.7 练习 案例 


你 是 公司 的 网 络 管理 员 。 公 司 名 为 fabrikam。 

你 在 数据 中 心 有 多 台 Server 服务 器 ,需要 进行 管理 ,并 且 有 一 台新 的 Windows Server 
2008 计算 机 需要 安装 活动 目录 并 进行 管理 。 你 将 该 计算 机 命名 为 serverl, 并 配置 成 具有 
IP 地 址 10. 10. 30. 1 。 

公司 目前 每 天 的 信息 量 很 大 ,需要 大 量 的 人 力 、 物 力 进行 维护 。 公 司 要 求 每 段 时 间 的 系 
统 信息 要 进行 备份 ,并且 和 希望 个 别 部 门 的 信息 可 以 迅速 恢复 到 某 个 特定 时 间 点 的 状态 。 

你 作为 管理 员 ,应 该 完成 如 下 工作 : 

(1) 为 系统 信息 备份 。 

(2) 为 个 别 部 门 信 息 做 卷 影 副 本 。 

(3) 做 好 备份 计划 。 


10.8 课 后 习题 
1. 为 什么 大 多 数 备份 工作 选择 晚上 进行 ? 


2. 卷 影 副本 与 普通 备份 的 区 别 有 哪 些 ? 
3. 好 的 备份 计划 对 公司 有 哪些 好 处 ? 


发 据 备份 与 还 原 


第 11 章 网 络 安全 管理 


11.1 网 络 安全 相关 知识 


网 络 安全 是 指 网 络 系统 的 硬件 软件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 更改, 泄露 ,系统 连续 可 靠 正 常 地 运行 ,网 络 服务 不 中 断 。 网 络 安全 从 其 
本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 

从 广义 来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 .可 用 人 性、 真实 性 和 可 控 性 的 相关 技 
术 和 理论 都 是 网 络 安全 的 研究 领域 。 

网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 、 应 用 
数学 ,数论 ,信息 论 等 多 种 学 科 的 综合 性 学 科 。 


11.1.1 网 络 安全 研究 的 两 大 体系 
网 络 安全 研究 的 内 容 广泛 ,但 究 其 根本 ,可 归纳 为 两 大 体系 : 攻击 技术 体系 和 防御 技术 


体系 ,如 图 11-1 所 示 。 


攻击 技术 体系 防御 技术 体系 
pe 操作 系统 安全 配置 技术 
网 络 监听 祝 息 加 密 技术 
网 络 入 侵 信息 加 密 技术 

网 络 后 门 技术 防火 墙 技术 

入 侵 信息 清除 入 侵 检 测 技术 


图 11-1 网 络 安全 研究 体系 


1. 攻击 技术 体系 

网 络 扫 描 : 利用 程序 去 扫描 目标 计算 机 ,以 获取 其 端口 开放 情况 、 操 作 系 统 类 型 情况 、 
提供 服务 情况 等 信息 ,目的 是 发 现 是 否 有 可 以 利用 的 漏洞 ,以 便利 用 进行 入 侵 。 

网 络 监听 : 在 本 机 上 使 用 监听 程序 ,对 网 络 中 传输 的 信息 进行 监听 ,获取 其 他 计算 机 的 
通信 信息 。 该 技术 不 主动 进行 探测 ,仅仅 是 被 动 接收 信息 。 

网 络 入 侵 : 利用 目标 计算 机 的 漏洞 .进行 入侵 , 连 入 目标 计算 机 盗 取信 息 或 进行 其 他 操作 。 


网 络 后 门 技术 : 在 入侵 成 功 的 计算 机 上 ,安装 特殊 程序 ,以 方便 以 后 快速 连接 ,长 期 
使 用 。 

入 侵 信息 清除 : 入 侵 完 成 后 退出 目标 计算 机 。 

2. 防御 技术 体系 

操作 系统 安全 配置 技术 : 操作 系统 是 计算 机 应 用 的 平台 ,对 于 操作 系统 的 安全 配置 是 
最 基础 也 是 最 重要 的 。 

信息 加 密 技术 : 将 传送 的 信息 数据 进行 加 密 , 可 以 有 效 防止 监听 和 数据 偷盗 。 强 力 的 
信息 加 密 技 术 使 得 信息 即便 被 监听 或 盗 取 ,也 会 因 解密 困难 使 非法 获得 的 数据 无 法 使 用 。 

防火 墙 技术 : 在 内 部 网 和 外 部 网 之 间 构 造 的 保护 屏障 ,对 传输 的 数据 进行 检测 和 限制 ， 
保护 内 部 网 免 受 非法 用 户 的 侵入 。 

入 侵 检测 技术 : 对 计算 机 和 网 络 资源 的 恶意 使 用 行为 进行 识别 和 相应 处 理 的 系统 。 


11.1.2 网 络 安 全 面临 的 威胁 


计算 机 网 络 所 面临 的 威胁 包括 对 网 络 中 信息 的 威胁 和 对 网 络 中 设备 的 威胁 。 影 响 计 算 
机 网 络 的 因素 很 多 ,大 体 可 分 为 两 种 : 一 是 对 网 络 中 信息 的 威胁 ; 二 是 对 网 络 中 设备 的 威 
胁 。 影 响 计算 机 网 络 的 因素 很 多 ,有 些 因素 可 能 是 有 意 的 ,也 可 能 是 无 意 的 ; 可 能 是 人 为 
的 ,也 可 能 是 非 人 为 的 ; 可 能 是 外 来 黑客 对 网 络 系统 资源 的 非法 使 用 。 

非 授 权 访问 : 指 对 网 络 设备 及 信息 资源 进行 非 正常 使 用 或 越权 使 用 等 。 

冒充 合法 用 户 : 主要 指 利用 各 种 假冒 或 欺骗 的 手段 非法 获得 合法 用 户 的 使 用 权限 ,以 
达到 占用 合法 用 户 资源 的 目的 。 

破坏 数据 的 完整 性 : 指使 用 非法 手段 ,删除 ,修改 、 重 发 某 些 重要 信息 ,以 干扰 用 户 的 正 
常 使 用 。 

干扰 系统 正常 运行 : 指 改变 系统 的 正常 运行 方法 , 减 慢 系统 的 响应 时 间 等 手段 。 

病毒 与 恶意 攻击 : 指 通过 网 络 传播 病毒 或 恶意 Java、XActive 等 。 

线路 窃听 : 指 利 用 通信 介质 的 电磁 泄漏 或 搭 线 窃听 等 手段 获取 非法 信息 。 


11.1.3 常见 的 网 络 威胁 


计算 机 病毒 (Virus) 的 散布 : 计算 机 病毒 可 能 会 自行 复制 ,或 更 改 应 用 软件 或 系统 的 可 
运行 组 件 ,或 是 删除 文件 .更改 数据 ,拒绝 提供 服务 , 甚 常 伴随 着 电子 邮件 , 借 由 文件 档 或 可 
执行 文件 的 宏 指令 来 散布 ,有 时 不 会 马上 发 作 , 让 用 户 在 不 知情 的 情况 下 帮 其 散布 。 

阻 绝 服 务 (Denial of Service,DoS) : 系统 或 应 用 程序 的 访问 被 中 断 或 是 阻止 ,让 用 户 无 
法 获得 服务 ,或 是 造成 某 些 实时 系统 的 延误 或 中 止 。 例 如 ,利用 大 量 邮 件 炸弹 塞 爆 企 业 的 邮 
件 服务 器 、 借 由 许多 他 人 计算 机 提交 http 的 请 求 而 瘫痪 Web Server。 

后 门 或 特洛伊 木马 程序 (Trapdoor/Trojan Horse) : 未 经 授权 的 程序 ,可 以 通过 合法 程 
序 的 掩护 ,而 伪装 成 经 过 授权 的 流程 ,来 运行 程序 .如 此 造成 系统 程序 或 应 用 程序 被 更 换 , 而 
运行 某 些 不 被 察觉 的 恶意 程序 ,例如 , 回 传 重要 机 密 给 犯罪 者 。 

窃听 (Sniffer) : 用 户 之 识别 数据 或 其 他 机 密 数 据 , 在 网 络 传输 过 程 中 被 非法 的 第 三 者 
得 知 或 取得 重要 的 机 密 信息 。 

伪装 (Masquerade) : 攻击 者 假装 是 某 合法 用 户 ,而 获得 使 用 权限 。 例 如 ,伪装 别人 的 名 
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义 传送 电子 邮件 、 伪 装 官方 的 网 站 来 骗取 用 户 的 帐号 与 密码 。 

数据 算 改 (Data Manipulation) : 存储 或 传输 中 的 数据 ,其 完整 性 被 毁坏 。 例 如 ,网 页 被 
恶意 算 改 、 股 票 下 单 由 10 张 被 改 为 1000 张 。 

否认 (Repudiation) : 用 户 拒绝 承认 曾 使 用 过 某 一 计算 机 或 网 络 , 或 曾 寄 出 ( 收 到 ) 某 一 
文件 。 例 如 ,价格 突然 大 跌 , 而 否认 过 去 所 下 的 订单 。 此 项 是 电子 财务 交易 (Electronic 
Financial Transaction) 及 电子 契约 协议 (Electronic Contractual Agreement) 的 主要 威胁 。 

网 络 钓鱼 (Phishing) : 创建 色情 网 站 或 者 “虚设 "“ 人 仿冒" 的 网 络 商店 ,引诱 网 友 在 线 消 
费 ,并 输入 信用 卡 卡号 与 密码 ,以 此 来 获取 用 户 的 机 密 数 据 。 

双 面 恶魔 (Evil Twins) : 为 网 络 钓鱼 法 的 另 一 种 方式 , 指 的 是 一 种 常 出 现在 机 场 、 旅 馆 、 
咖啡 厅 等 地 方 ,假装 可 提供 正当 无 线 网 络 链接 到 Internet 的 应 用 服务 , 当 用 户 不 知情 登 上 此 
网 络 时 ,就 会 被 窃取 其 密码 或 信用 卡 信 息 。 

网 址 转嫁 链接 (Pharming) : 犯罪 者 常 侵入 ISP 的 服务 器 中 修改 内 部 IP 的 信息 并 将 其 
转 接 到 犯罪 者 伪造 的 网 站 ,所 以 即使 用 户 输入 正确 的 IP 也 会 转 接 到 犯罪 者 的 网 站 ,而 被 截 
取信 息 。 

点 击 诈 欺 (Click Fraud) : 许多 网 络 上 的 广告 例如 Google, 是 靠 点 击 次 数 来 计 费 (Pay by 
Click) ,但 某 些 不 法 网 站 利用 软件 程序 或 大 量 中 毒 的 僵尸 网 站 (Zombies) 不 法 地 去 点 击 广 
告 , 造 成 广告 商 对 这 些 大 量 非 真正 消 费 者 的 点 击 来 付费 ,或 者 有 的 犯罪 者 故意 大 量 去 点 击 竞 
争 对 手 的 广告 ,让 其 增加 无 谓 的 广告 费用 。 

Rootkits: 一 堆 能 窃取 密码 ,监听 网 络 流量 . 留 下 后 门 并 能 抹 掉 和 人 侵 系 统 的 相关 记录 以 
及 隐藏 自己 行踪 的 程序 集 ,为 木马 程序 的 一 种 。 如 果 入 侵 者 在 系统 中 成 功 植 人 Rootkits ,一 
般 人 将 很 难 发 现 已 经 被 人 侵 , 对 于 入 侵 者 来 说 ,就 能 轻易 控制 系统 ,而 通行 无 阻 。 


11.1.4 网 络 安全 管理 分 类 


网 络 安全 管理 主要 分 为 两 大 类 : 物理 上 的 安全 管理 和 逻辑 上 的 安全 管理 。 
物理 安全 管理 主要 包括 环境 的 安全 和 设备 的 安全 。 
逻辑 安全 管理 主要 是 指 各 种 安全 技术 手段 。 


11.2 物理 安全 管理 


11.2.1 为 什么 需要 物理 安全 


网 络 的 物理 安全 是 整个 网 络 系统 安全 的 前 提 , 就 像 是 大 厦 的 地 基 一 样 重要 。 不 好 的 物 
理 环境 有 可 能 导致 网 络 设备 和 线路 工作 异常 ,甚至 是 完全 不 可 用 。 

例如 , 因 物 理 环 境 因 素 导 致 设备 被 次 .设备 老化 严重 故障 频 发 ,无线 电磁 辐射 泄密 等 
等 。 如 果 局 域 网 采用 广播 方式 , 则 会 让 本 段 广播 域 上 传送 的 所 有 信息 都 可 能 被 监听 到 。 


11.2.2 物理 安全 内 容 


物理 位 置 选择 : 机 房 应 选择 在 具有 防震 、 防 风 和 防 雨 等 能 力 的 建筑 内 ; 机 房 的 承重 要 
求 应 满足 设计 要 求 ; 机 房 场地 应 避免 设 在 建筑 物 的 高 层 或 地 下 室 ,以 及 用 水 设备 的 下 层 或 


隔壁 ; 机 房 场 地 应 当 避 开 强 电场 、 强 磁场 、 强 震动 源 、 强 噪声 源 、 重 度 环境 污染 , 易 发 生火 灾 、 
水 灾 , 易 遭受 雷击 的 地 区 。 

物理 访问 控制 : 有 人 值守 机 房 出 入 口 应 有 专人 值守 ,鉴别 进入 的 人 员 身 份 并 登记 在 案 ; 
无 人 值守 的 机 房 门口 应 具备 告警 系统 ; 对 重要 区 域 配置 电子 门禁 系统 ,鉴别 和 记录 进入 的 
人 员 身 份 并 监控 其 活动 。 

防盗 : 计算 机 作为 一 种 价格 高 昂 设备 ,也 是 盗窃 者 的 目标 。 计 算 机 盗窃 行为 所 造成 的 
损失 一 般 都 会 远 远 超过 其 本 身 的 价值 。 应 利用 光 、 电 等 技术 设置 机 房 的 防盗 报警 系统 ,以 防 
进入 机 房 的 盗窃 和 破坏 行为 ; 应 对 机 房 设置 监控 报警 系统 。 

防火 : 计算 机 的 工作 环境 具有 很 多 的 电线 电缆 ,电气 设备 和 线路 因为 短路 、 过 载 . 接 触 
不 良 \ 绝 缘 层 破坏 或 静电 等 原因 引起 电 打 火 , 从 而 引起 火灾 。 另 外 ,人 为 因素 也 容易 引起 火 
灾 , 如 吸烟 , 乱 扔 烟头 .把 易 燃 物品 乱 堆放 等 。 应 设置 火灾 自动 消防 系统 ,自动 检测 火 情 , 自 
动 报警 ,并 自动 灭火 。 

防 静 电 : 静电 是 电子 设备 的 一 大 敌人 ,由 物理 相互 摩 控 产生。 静电 积 累 过 多 时 ,会 有 很 
高 的 电位 ,可 能 会 导致 静电 放电 火花 ,引起 火灾 ,而且 静电 还 可 能 导致 电子 设备 损坏 。 

防 雷击 : 传统 的 避雷 针 会 产生 感应 雷 , 导 致电 子 设备 损 坏 。 机 房 建筑 应 设置 避雷 装置 ; 
应 设置 防 雷 保安 器 ,防止 感应 雷 ; 应 设置 交流 电源 地 线 。 

防 电磁 辐射 : 计算 机 在 工作 时 ,会 产生 电磁 辐射 。 电 磁 辐 射 可 以 被 高 灵敏 度 的 专业 设 
备 接收 并 分 析 、 还 原 信息 ,从 而 导致 信息 泄露 。 

防水 和 防潮 : 电子 设备 是 严禁 接触 到 水 的 ,而 潮湿 也 会 引起 设备 故障 ,因此 要 杜绝 此 种 
现象 发 生 。 

温 湿 度 控制 : 应 设置 恒温 恒 湿 系 统 ,使 机 房 温 、 湿 度 的 变化 在 设备 运行 所 允许 的 范围 
之 内 。 

电力 供应 : 机 房 供电 应 与 其 他 市 电 供 电 分 开 ; 应 设置 稳 压 器 和 过 电压 防护 设备 ; 应 提 
供 短期 的 备用 电力 供应 (如 UPS 设备 ); 应 建立 备用 供电 系统 (如 备用 发 电机 ) ,以 备 常用 供 
电 系 统 停电 时 启用 。 


11.3 逻辑 安全 管理 


11.3.1 为 什么 要 使 用 远 辑 安全 管理 


在 有 了 比较 安全 的 物理 环境 基础 后 ,进一步 要 考虑 的 就 是 如 何 让 网 络 使 用 得 更 安全 , 信 
息 能 安全 有 效 地 在 网 络 上 进行 传输 ,未 被 授权 的 用 户 不 能 访问 网 络 或 不 能 进行 规定 以 外 的 
操作 。 


11.3.2 操作 系统 安全 配置 


操作 系统 是 作为 一 个 支撑 软件 ,使 得 程序 或 别 的 应 用 系统 在 上 面 正常 运行 的 一 个 环境 。 
操作 系统 提供 了 很 多 的 管理 功能 ,主要 是 管理 系统 的 软件 资源 和 硬件 资源 。 操 作 系 统 的 安 
全 为 软件 运行 和 应 用 提供 了 基础 平台 , 它 的 安全 十 分 重要 。 

禁用 Guest 帐号 。Guest 帐号 是 访客 帐号 ,不 需 密码 即 可 访问 计算 机 ,会 带 来 安全 
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圩 二 测 
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给 默认 管理 员 帐 号 降级 。Administrator 是 操作 系统 默认 的 管理 员 ,很 多 探测 软件 都 是 
针对 这 个 帐号 进行 的 ,可 以 新 建 一 个 管理 员 帐 号 来 管理 计算 机 ,在 将 administrator 隶属 的 
组 改 为 guest, 使 得 其 权限 降低 ,并 设置 复杂 密码 ,让 探测 难度 加 大 ,从 而 增强 系统 安全 性 。 

使 用 安全 级 别 密码 。 好 的 密码 应 使 用 3 种 类 型 以 上 的 字符 (大 小 写字 母 数字、 符号 ,长 
度 超过 8 位 ,并 定期 更 换 )。 

使 用 NTFS 分 区 。NTFS 分 区 具有 更 高 的 安全 性 ,并 具有 更 多 的 功能 (现在 Windows 
系统 使 用 的 都 是 NTFS 分 区 ,但 其 他 盘 符 的 分 区 仍 使 用 FAT32 的 ,不 建议 这 样 做 )。 

备份 资料 。 对 于 重要 的 资料 进行 备份 ,以 防 万 一 (网 盘 都 具有 备份 功能 ,可 以 考虑 使 用 
网 盘 ,很 方便 ) 。 

使 用 策略 管理 器 增强 计算 机 安全 性 。Windows 系统 带 有 策略 管理 器 ,可 以 对 计算 机 的 
安全 策略 进行 设置 ,如 帐户 策略 ,本 地 策略 等 。 

关闭 不 必要 的 服务 。 一 些 服 务 对 于 用 户 来 说 并 没有 用 处 ,可 以 将 其 关闭 ,防止 因 系统 漏 
洞 或 其 他 原因 导致 的 安全 问题 。 

安装 系统 补丁 。 微 软 公司 不 定期 推出 系统 补丁 ,修补 系统 漏洞 ,增强 系统 安全 性 。 

安装 杀毒 软件 。 

操作 系统 安全 配置 不 止 于 以 上 所 说 内 容 , 随 着 计算 机 的 发 展 ,其 内 容 也 在 变化 。 


11.3.3 防火 墙 技 术 


防火 墙 是 近期 发 展 起 来 的 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 , 它 是 一 个 用 以 阻止 
网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ,也 可 称 之 为 控制 进 /出 两 个 方向 通信 的 门槛 。 在 网 
络 边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 ,以 阻挡 外 部 网 络 
的 侵入 。 

目前 的 防火 墙 主要 有 以 下 三 种 类 型 

1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 设 置 在 网 络 层 ,可 以 在 路 由 器 上 实现 包 过 滤 。 首 先 应 建立 一 定数 量 的 信 
息 过 滤 表 ,信息 过 滤 表 是 以 其 收 到 的 数据 包头 信息 为 基础 而 建成 的 。 信 息 包头 含有 数据 包 
源 IP 地 址 .目的 IP 地 址 ,传输 协议 类 型 (TCP、UDP、ICMP 等 ) .协议 源 端口 号 .协议 目的 端 
口号 .连接 请 求 方向 .ICMP 报 文 类 型 等 。 当 一 个 数据 包 满 足 过 滤 表 中 的 规则 时 , 则 允许 数 
据 包 通过 ,和 否则 禁止 通过 。 这 种 防火 墙 可 以 用 于 禁止 外 部 不 合法 用 户 对 内 部 的 访问 ,也 可 以 
用 来 禁止 访问 某 些 服务 类 型 。 但 包 过 滤 技 术 不 能 识别 有 和 危险 的 信息 包 , 无 法 实施 对 应 用 级 
协议 的 处 理 , 也 无 法 处 理 UDP、RPC 或 动态 的 协议 。 

2. 代理 防火 墙 

代理 防火 墙 又 称 应 用 层 网 关 级 防火 墙 , 它 由 代理 服务 器 和 过 滤 路 由 器 组 成 ,是 目前 较 流 
行 的 一 种 防火 墙 。 它 将 过 滤 路 由 器 和 软件 代理 技术 结合 在 一 起 。 过 滤 路 由 器 负责 网 络 互 
联 , 并 对 数据 进行 严格 选择 ,然后 将 筛选 过 的 数据 传送 给 代理 服务 器 。 代 理 服 务 器 起 到 外 部 
网 络 申请 访问 内 部 网 络 的 中 间 转 接 作用 ,其 功能 类 似 于 一 个 数据 转发 器 , 它 主要 控制 哪些 用 
户 能 访问 哪些 服务 类 型 。 当 外 部 网 络 向 内 部 网 络 申请 某 种 网 络 服务 时 ,代理 服务 器 接受 申 
请 ,然后 它 根据 其 服务 类 型 .服务 内 容 、 被 服务 的 对 象 . 服 务 者 申请 的 时 间 、 申 请 者 的 域名 范 


围 等 来 决定 是 否 接受 此 项 服务 ,如 果 接 受 , 它 就 向 内 部 网 络 转发 这 项 请 求 。 代 理 防火 墙 无 法 
快速 支持 一 些 新 出 现 的 业务 (如 多 媒体 )。 现 在 较为 流行 的 代理 服务 器 软件 有 WinGate 和 
Proxy Server。 

3. 双 穴 主机 防火 墙 

该 防火 墙 是 用 主机 来 执行 安全 控制 功能 。 一 台 双 人 闪 主机 配 有 多 个 网 卡 , 分 别 连接 不 同 
的 网 络 。 双 穴 主机 从 一 个 网 络 收集 数据 ,并 且 有 选择 地 把 它 发 送 到 另 一 个 网 络 上 。 网 络 服 
务 由 双 穴 主 机 上 的 服务 代理 来 提供 。 内 部 网 和 外 部 网 的 用 户 可 通过 双 穴 主机 的 共享 数据 区 
传递 数据 ,从 而 保护 了 内 部 网 络 不 被 非法 访问 。 

防火 墙 虽然 可 以 对 外 部 的 入 侵 起 到 阻止 和 防护 的 作用 ,但 俗话 说 家贼 难 防 ”, 对 于 来 自 
于 内 部 的 网 络 攻击 ,防火墙 是 无 能 为 力 的 。 


11.3.4 信息 加 密 技 术 


信息 加 密 技术 的 历史 比较 悠久 ,在 四 千年 前 , 古 埃及 人 就 开始 使 用 密码 来 保密 传递 消 
息 。 两 千 多 年 前 ,罗马 国王 Julius Caesare( 恺 撤 ) 就 开始 使 用 目前 称 为 “ 恺 撤 密 码 ” 的 密码 系 
统 。 但 是 信息 加 密 技 术 直 到 20 世纪 40 年 代 以 后 才 有 重大 突破 和 发 展 。 特 别 是 20 世纪 
70 年 代 后 期 ,由 于 计算 机 、 电 子 通信 的 广泛 使 用 ,信息 加 密 技 术 得 到 了 空前 的 发 展 。 

消息 被 称 为 明文 。 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 称 为 加 密 , 加 了 密 的 消 
息 称 为 密 文 ,而 把 密 文 转变 为 明文 的 过 程 称 为 解密 ,图 11-2 表明 了 加 密 和 解密 的 过 程 。 


明文 密 文 


一 一 | 加密 


原始 明文 


解密 


11-2 加 密 和 解密 的 过 程 


1. 信息 加 密 技术 作用 

信息 加 密 技术 提供 三 方面 的 功能 : 鉴别 .完整 性 和 抗 抵赖 性 。 这 些 功能 是 通过 计算 机 
进行 社会 交流 ,至 关 重 要 的 需求 。 

鉴别 : 消息 的 接收 者 应 该 能 够 确认 消息 的 来 源 ; 入 侵 者 不 可 能 伪装 成 他 人 。 

完整 性 : 消息 的 接收 者 应 该 能 够 验证 在 传送 过 程 中 消息 没有 被 修改 ; 入 侵 者 不 可 能 用 
假 消息 代替 合法 消息 。 

抗 抵赖 性 : 发 送 消息 者 事后 不 可 能 虚假 地 否认 他 发 送 的 消息 。 

2. 加 密 技术 分 类 

根据 加 密 与 解密 使 用 的 密 钥 是 否 相 同 , 加 密 技术 分 为 对 称 加 密 和 非 对 称 加 密 。 

对 称 加 密 算法 有 DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES 算 法 等 ,DES 算 法 应 用 
最 广泛 。 

非 对 称 加 密 算法 有 RSA、Elgamal 背包 算法 .Rabin、.D-H、\ECC 等 ,RAS 算 法 应 用 最 广泛 。 


11.3.5 入 侵 检 测 系 统 


1. 人 侵 检测 系统 简介 
入 侵 检 测 系 统 (Intrusion Detection System,IDS) 指 的 是 一 种 硬件 或 者 软件 系统 ,该 系 
统 对 系统 资源 的 非 授 权 使 用 能 够 做 出 及 时 的 判断 `. 记 录 和 报警 。 


网 络 系 统 营 理 


入 侵 检测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管理 
能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计 
算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信息 ,看 看 网 络 中 是 否 有 违反 安全 策略 
的 行为 和 遭 到 袭击 的 迹象 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闻 门 ,在 不 影响 网 
络 性 能 的 情况 下 能 对 网 络 进行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 。 

对 一 个 成 功 的 入 侵 检 测 系统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 、 文 件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制订 提供 指南 。 更 为 重要 的 一 
点 是 , 它 应 该 管理 ,配置 简单 ,从 而 使 非 专业 人 员 非 常 容易 地 获得 网 络 安全 。 而 且 , 入 侵 检测 
的 规模 还 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。 和 人 侵 检 测 系统 在 发 现 人 侵 
后 ,会 及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 

2. 人 侵 检测 系统 分 类 

1) 按 所 采用 的 技术 分 类 

(1) 特征 检测 。 

特征 检测 (Signature-based detection) 又 称 Misuse detection, 这 一 检测 假设 入 侵 者 活动 
可 以 用 一 种 模式 来 表示 ,系统 的 目标 是 检测 主体 活动 是 否 符合 这 些 模式 。 它 可 以 将 已 有 的 
入 侵 方 法 检查 出 来 ,但 对 新 的 入侵 方法 无 能 为 力 。 其 难点 在 于 如 何 设计 模式 既 能 够 表达 “入 
侵 " 现 象 ,又 不 会 将 正常 的 活动 包含 进来 。 

(2) 异常 检测 。 

异常 检测 (Anomaly detection) 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 。 根 据 这 一 
理念 建立 主体 正常 活动 的 “活动 简 档 ”, 将 当前 主体 的 活动 状况 与 “活动 简 档 ” 相 比 较 , 当 违反 
其 统计 规律 时 ,认为 该 活动 可 能 是 “入 侵 " 行 为 。 异 常 检测 的 难题 在 于 如 何 建立 “活动 简 档 ” 
以 及 如 何 设计 统计 算法 ,从 而 不 把 正常 的 操作 作为 “入 侵 " 或 忽略 真正 的 "入侵" 行为 。 

2) 按 人 侵 检测 的 信息 来 源 

(1) 基于 主机 。 

一 般 主要 使 用 操作 系统 的 审计 、 跟 踪 日 志 作 为 数据 源 , 某 些 也 会 主动 与 主机 系统 进行 交 
互 以 获得 不 存在 于 系统 日 志 中 的 信息 以 检测 入 侵 。 这 种 类 型 的 检测 系统 不 需要 额外 的 硬 
件 ,对 网 络 流量 不 敏感 ,效率 高 ,能 准确 定位 入 侵 并 及 时 进行 反应 ,但 是 占用 主机 资源 ,依赖 
于 主机 的 可 靠 住 ,所 能 检测 的 攻击 类 型 受 限 。 不 能 检测 网 络 攻击 。 

(2) 基于 网 络 。 

通过 被 动 地 监听 网 络 上 传输 的 原始 流量 ,对 获取 的 网 络 数据 进行 处 理 , 从 中 提取 有 用 的 
信息 ,再 通过 与 已 知 攻击 特征 相 匹配 或 与 正常 网 络 行为 原型 相 比较 来 识别 攻击 事件 。 此 类 
检测 系统 不 依赖 操作 系统 作为 检测 资源 ,可 应 用 于 不 同 的 操作 系统 平台 ; 配置 简单 ,不 需要 
任何 特殊 的 审计 和 登录 机 制 ; 可 检测 协议 攻击 .特定 环境 的 攻击 等 多 种 攻击 。 但 它 只 能 监 
视 经 过 本 网 段 的 活动 ,无 法 得 到 主机 系统 的 实时 状态 ,精确 度 较 差 。 大 部 分 入侵 检测 工具 都 
是 基于 网 络 的 入 侵 检 测 系统 。 

(3) 分 布 式 。 

这 种 入 侵 检测 系统 一 般 为 分 布 式 结构 ,由 多 个 部 件 组 成 ,在 关键 主机 上 采用 主机 入 侵 检 
测 ,在 网 络 关键 节点 上 采用 网 络 入 侵 检 测 ,同时 分 析 来 自主 机 系统 的 审计 日 志和 来 自 网 络 的 
数据 流 ,判断 被 保护 系统 是 否 受 到 攻击 。 
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11.4 课 后 习题 


. 什么 是 网 络 安全 ? 

. 网 络 安全 研究 的 两 大 体系 各 是 什么 ? 

. 防御 技术 体系 包括 哪些 内 容 ? 

.网络 安全 面临 的 威胁 有 哪些 ? 

. 简 述 网 络 安全 管理 分 类 。 

. 防火 墙 作 用 有 哪些 ? 

.什么 是 IDS? 

. 你 给 自己 的 操作 系统 进行 了 哪些 安全 配置 ? 


第 12 章 网 络 故 障 诊断 和 排除 


12.1 导语 : 网 络 故障 会 对 网 络 管理 产生 怎样 的 影响 


当 你 作为 一 名 企业 的 网 络 管理 员 , 某 部 门 里 有 人 说 自己 的 计算 机 无 法 上 网 ,请 问 你 该 如 
何 处 理 ? 
许多 网 络 管理 者 都 经 受过 各 种 各 样 网 络 异 常 的 困扰 ,例如 突然 发 现 网 络 运行 速度 变 慢 ， 
或 者 经 常 出 现 莫名 其 妙 的 现象 ,那么 网 络 就 可 能 存在 故障 隐患 。 面 对 这 些 还 未 发 生 或 者 已 
经 发 生 的 故障 ,作为 一 名 网 络 管理 员 ,你 会 进行 怎样 的 故障 诊断 和 排除 呢 ? 接 下 去 就 让 我 们 
深入 地 学 习 网 络 故障 的 论 依 断 和 排除 。 


12.2 网 络 故障 诊断 和 排除 概述 


日 常 应 用 中 网 络 出 现 故 障 是 极 普遍 的 事 , 其 种 类 也 多 种 多 样 。 在 网 络 出 现 故障 时 对 出 
现 的 问题 及 时 进行 维护 ,以 最 快 的 速度 恢复 网 络 的 正常 运行 ,掌握 行 之 有 效 的 网 络 维护 理论 
方法 和 技术 是 至 关 重 要 的 。 


12.2.1 故障 诊断 和 排除 基本 概念 


网 络 故障 诊断 以 网 络 原理 、 网 络 配置 和 网 络 运 行 的 知识 为 基础 。 从 故障 现象 出 发 ,以 网 
络 诊 断 工具 为 手段 获取 诊断 信息 ,确定 网 络 故障 点 ,查找 问题 的 根源 ,排除 故障 ,恢复 网 络 正 
常 运行 从 而 提高 网 络 的 利用 率 及 服务 质量 。 

网 络 故 障 诊断 应 该 实现 三 方面 的 目的 : 

。 确定 网 络 的 故障 点 ,恢复 网 络 的 正常 运行 ; 

。 发 现 网 络 规划 和 配置 中 欠 佳 之 处 ,改善 和 优化 网 络 的 性 能 ; 

。 观察 网 络 的 运行 状况 ,及 时 预测 网 络 通信 质量 。 

作为 网 络 管理 员 ,在 实际 维护 网 络 的 过 程 中 。 遇 到 网 络 故障 几乎 是 一 件 不 可 避免 的 事 
情 。 从 故障 现象 来 看 ,有 的 网 络 故 障 解决 办 法 是 相通 的 ,但 从 实际 运行 环境 来 看 。 解 决 相同 
现象 的 故障 ,方法 可 能 过 然 不 同 。 产 生 网 络 故障 的 原因 很 多 : 可 能 是 网 卡 , 不 停 地 发 出 坏 
包 ; 也 可 能 是 交换 机 ,端口 故障 使 错 包 增多 ; 还 可 能 是 服务 器 ,硬盘 的 故障 使 网 络 瘫痪 ; 软 
设置 的 错误 更 会 引发 各 种 各 样 的 问题 ; 一 条 链 路 负载 量 大 ,也 可 能 形成 整个 网 络 的 瓶颈 。 

从 OSI 的 层次 模型 剖析 ,网 络 故障 通常 有 以 下 几 种 。 

。 物理 层 问 题 : 物理 设备 相互 联接 失败 或 者 硬件 及 线路 本 身 的 问题 ; 

。 数据 链 路 层 问 题 : 网 络 设备 的 接口 配置 问题 ; 


。 网 络 层 问题 ; 网 络 协议 配置 或 操作 错误 ; 

。 传输 层 问题 : 设备 性 能 ,通信 拥塞 及 差错 问题 ; 

。 高 层 问题 ; 包括 操作 系统 ,应 用 接口 .驱动 程序 及 各 种 应 用 程序 错误 。 

网 络 故 障 的 诊断 过 程 应 该 沿 着 OSI 七 层 模型 从 物理 层 开 始 向 上 进行 。 首 先 检查 物理 
层 , 然 后 检查 数据 链 路 层 , 以 此 类 推 ,设法 确定 通信 失败 的 故障 点 ,直到 系统 通信 正常 为 止 。 

网 络 故障 是 在 所 难免 的 ,重要 的 是 应 快速 隔离 和 排除 故障 。 网 络 维护 人 员 应 该 配备 相 
应 的 工具 和 相应 的 知识 ,以 便 及 时 、 有 效 地 找到 和 解决 问题 。 提 高 故障 诊断 水 平 需要 注意 以 
下 几 方 面 的 问题 ; 

。 认真 学 习 有 关 网 络 技术 理论 ; 

"。 熟悉 网 络 的 结构 设计 ,包括 网 络 拓扑 设备 连接 .系统 参数 设置 及 软件 使 用 ; 

。 了 解 网 络 正常 的 运行 状况 ,注意 收集 网 络 正常 运行 时 的 各 种 状态 和 报告 输出 参数 ; 

。 熟悉 常用 的 诊断 工具 ,准确 地 描述 故障 现象 。 


12.2.2 网 络 故 障 分 类 


网 络 中 可 能 出 现 的 故障 多 种 多 样 ,解决 一 个 复杂 的 网 络 故障 往往 需要 广泛 的 网 络 知识 
与 丰富 的 工作 经 验 。 同 时 ,由 于 网 络 故障 具有 多 样 性 和 复杂 性 ,因此 如 果 对 网 络 故障 进行 详 
细 的 分 类 则 存在 一 定 的 困难 。 一 般 情况 下 ,根据 网 络 故障 的 性 质 ,将 网 络 故障 分 为 物理 故障 
和 由 辑 故障 两 大 类 。 其 中 物理 故障 与 网 络 中 所 使 用 的 PC、 交 换 机 、 路 由 器 、 防 火 墙 等 硬件 设 
备 有 关 , 而 逻辑 故障 则 与 网 络 的 规划 与 布局 有 关 。 

1. 物理 故障 

物理 故障 通常 是 指 由 网 络 硬件 或 网 络 连接 引起 的 网 络 故 障 。 网 络 硬件 设备 或 线路 的 损 
坏 、 接 触 不 良 、 接 头 松 动 、 线 路 受到 严重 电磁 干扰 等 情况 均 会 引起 网 络 物 理 故 障 。 例 如 , 当 网 
络 物理 故障 表现 为 一 段 网 络 连 接 不 通 或 时 断 时 通 , 网 络 管理 人 员 就 可 以 从 监控 界面 上 发 现 
该 故障 ,并 通过 多 种 方法 来 排除 故障 。 可 以 使 用 专用 的 线 缆 测 试 仪 来 测试 网 线 是 否 存在 物 
理 故障 。 在 排除 物理 故障 后 ,可 以 使 用 ping 命令 检查 线路 在 端口 处 是 否 连通 ,如 果 不 连通 ， 
则 检查 端口 插头 是 否 松动 。 下 面具 体 分 析 各 种 物理 故障 和 相应 的 排查 方法 。 

1) 线路 故障 

在 日 常 网 络 维护 中 ,线路 故障 的 发 生 率 是 相当 高 的 , 约 占 发 生 故 障 的 70%。 线 路 故障 
通常 包括 线路 损坏 及 线路 受到 严重 电磁 干扰 。 

排查 方法 : 如 果 是 短 距离 的 范围 内 ,判断 网 线 好 坏 简 单 的 方法 是 将 该 网 络 线 一 端 插 入 
一 台 确 定 能 够 正常 接 入 局 域 网 的 主机 的 RJ-45 插座 内 , 另 一 端 插入 确定 正常 的 HUB 端口 ， 
然后 从 主机 的 一 端 Ping 线路 另 一 端的 主机 或 路 由 器 ,根据 通 断 来 判断 即 可 。 如 果 线 路 稍 
长 ,或 者 网 线 不 方便 调动 ,就 用 网 线 测试 器 测量 网 线 的 好 坏 。 如 果 线 路 很 长 ,比如 由 邮电 部 
门 等 供应 商 提供 的 ,就 需 通知 线路 提供 商检 查 线 路 ,看 是 否 线路 中 间 被 切断 。 

对 于 是 否 存在 严重 电磁 干扰 的 排查 ,我 们 可 以 用 屏蔽 较 强 的 屏蔽 线 在 该 段 网 络 上 进行 
通信 测试 ,如 果 通 信 正 常 , 则 表明 存在 电磁 干扰 ,注意 远离 如 高 压 电 线 等 电磁 场 较 强 的 物件 。 
如 果 同 样 不 正常 , 则 应 排除 线路 故障 而 考虑 其 他 原因 。 各 

2) 端口 故障 12 

端口 故障 通常 包括 插头 松动 和 端口 本 身 的 物理 故障 。 章 
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排查 方法 : 此 类 故障 通常 会 影响 到 与 其 直接 相连 的 其 他 设备 的 信号 灯 。 因 为 信号 灯 比 
较 直 观 ,所 以 可 以 通过 信号 灯 的 状态 大 致 判断 出 故障 的 发 生 范 围 和 可 能 原因 。 也 可 以 尝试 
使 用 其 他 端口 看 能 否 连 接 正 常 。 

3) 集线器 或 路 由 器 故障 

集线器 或 路 由 器 故障 在 此 是 指 物理 损坏 ,无 法 工作 ,导致 网 络 不 通 。 

排查 方法 : 通常 最 简易 的 方法 是 替换 排除 法 ,用 通信 正常 的 网 线 和 主机 来 连接 集线器 
(或 路 由 器 ) ,如 能 正常 通信 ,集线器 或 路 由 器 正常 ; 否则 再 转换 集线器 端口 排查 是 端口 故障 
还 是 集线器 (或 路 由 器 ) 的 故障 ; 很 多 时 候 ,集线器 (或 路 由 器 ) 的 指示 灯 也 能 提示 其 是 否 有 
故障 ,正常 情况 下 对 应 端口 的 灯 应 为 绿灯 。 若 始终 不 能 正常 通信 , 则 可 认定 是 集线器 或 路 由 
器 故障 。 

4) 主机 物理 故障 

其 中 最 突显 的 是 主机 网 卡 故 障 , 因 为 网 卡 多 装 在 主机 内 , 靠 主 机 完成 配置 和 通信 , 即 可 
以 看 作 网 络 终端 。 此 类 故障 通常 包括 网 卡 松动 ,网 卡 物理 故障 ,主机 的 网 卡 插 槽 故障 和 主机 
本 身 故 障 。 

排查 方法 : 对 于 网 卡 松动 .主机 的 网 卡 插 槽 故障 最 好 的 解决 办 法 是 更 换 网 卡 搬 槽 。 对 
于 网 卡 物理 故障 的 情况 ,如 若 上 述 更 换 搬 模 始终 不 能 解决 问题 的 话 ,就 拿 到 其 他 正常 工作 的 
主机 上 测试 网 卡 , 若 仍 无 法 工作 ,可 以 认定 是 网 卡 物理 损坏 ,更换 网 卡 即 可 。 

2. 逻辑 故障 

逻辑 故障 通常 是 指 由 软件 引起 的 网 络 故 障 , 最 常见 的 是 由 配置 不 当 引 起 的 网 络 故障 ,如 
网 卡 的 参数 配置 .路 由 器 及 交换 机 的 配置 .计算 机 中 协议 的 配置 等 均 能 引起 网 络 故障 。 一 些 
网 络 服务 进程 或 端口 关闭 或 者 计算 机 病毒 .网络 攻击 也 可 能 会 引起 网 络 故障 。 

1) 路 由 器 逻辑 故障 

路 由 器 逻辑 故障 通常 包括 路 由 器 端口 参数 设 定 有 误 , 路 由 器 路 由 配置 错误 、 路 由 器 
CPU 利用 率 过 高 和 路 由 器 内 存 余 量 太 小 等 。 

排查 方法 : 路 由 器 端口 参数 设 定 有 误 , 会 导致 找 不 到 远 端 地 址 。 用 Ping 命令 或 用 
Traceronute 命令 ,查看 在 远 端 地 址 哪个 节点 出 现 问题 ,对 该 节点 参数 进行 检查 和 修复 。 

路 由 器 路 由 配置 错误 ,会 使 路 由 循环 或 找 不 到 远 端 地 址 。 比 如 ,两 个 路 由 器 直接 连接 ， 
这 时 应 该 让 一 台 路 由 器 的 出 口 连接 到 另 一 路 由 器 的 人口 ,而 这 人 台 路 由 器 的 入 口 连接 另 一 路 
由 器 的 出 口才 行 , 这 时 制作 的 网 线 就 应 该 满足 这 一 特性 ,和 否则 也 会 导致 网 络 错误 。 该 故障 可 
以 用 Traceroute 工具 ,可 以 发 现在 Traceronute 的 结果 中 某 一 段 之 后 ,两 个 IP 地 址 循环 出 
现 。 这 时 ,一般 就 是 线路 远 端 把 端口 路 由 又 指向 了 线路 的 近 端 ,导致 IP 包 在 该 线路 上 来 回 
反复 传递 。 解 决 路 由 循环 的 方法 就 是 重新 配置 路 由 器 端口 的 静态 路 由 或 动态 路 由 ,把 路 由 
设置 为 正确 配置 ,就 能 恢复 线路 了 。 

路 由 器 CPU 利用 率 过 高 和 路 由 器 内 存 余 量 太 小 ,导致 网 络 服务 的 质量 变 差 。 比 如 路 
由 器 内 存 余 量 越 小 丢 包 率 就 会 越 高 等 。 检 测 这 种 故障 ,利用 MIB 变量 浏览 器 较 直 观 , 它 收 
集 路 由 器 的 路 由 表 、 端 口 流量 数据 、 计 费 数 据 、 路 由 器 CPU 的 温度 、 负 载 以 及 路 由 器 的 内 存 
余 量 等 数据 ,通常 情况 下 网 络 管理 系统 有 专门 的 管理 进程 ,不 断 地 检测 路 由 器 的 关键 数据 ， 
并 及 时 给 出 报警 。 要 排除 这 种 故障 ,只 有 对 路 由 器 进行 升级 、 扩 大 内 存 等 ,或 者 重新 规划 网 
络 拓扑 结构 。 


2) 一 些 重要 进程 或 端口 关闭 

一 些 有 关 网 络 连 接 数据 参数 的 重要 进程 或 端口 受 系统 或 病毒 影响 而 导致 意外 关闭 。 比 
如 ,路 由 器 的 SNMP 进程 意外 关闭 ,这 时 网 络 管理 系统 将 不 能 从 路 由 器 中 采集 到 任何 数据 ， 
因此 网 络 管理 系统 失去 了 对 该 路 由 器 的 控制 。 或 者 线路 中 断 ,没有 流量 。 

排查 方法 : 用 Ping 线路 近 端 的 端口 看 是 否 能 Ping 通 ,Ping 不 通 时 检查 该 端口 是 否 处 
于 down 的 状态 ,若是 , 则 说 明 该 端口 已 经 关闭 了 ,因而 导致 故障 。 这 时 只 需 重 新 启动 该 端 
口 ,就 可 以 恢复 线路 的 连通 。 

3) 主机 逻辑 故障 

主机 逻辑 故障 所 造成 网 络 故障 率 是 较 高 的 ,通常 包括 网 卡 的 驱动 程序 安装 不 当 、 网 卡 设 
备 有 冲突 、 主 机 的 网 络 地 址 参数 设置 不 当 、 主 机 网 络 协议 或 服务 安装 不 当 和 主机 安全 性 故 
障 等 。 

(1) 网 卡 的 驱动 程序 安装 不 当 , 包 括 网 卡 驱动 未 安装 或 安装 了 错误 的 驱动 出 现 不 兼容 ， 
都 会 导致 网 卡 无 法 正常 工作 。 

排查 方法 : 在 设备 管理 器 窗口 中 ,检查 网 卡 选 项 ,看 是 否 驱动 安装 正常 , 若 网 卡 型 号 前 
标示 出 现 “!1” 或 “X”, 表 明 此 时 网 卡 无 法 正常 工作 。 解 决 方法 很 简单 ,只 要 找到 正确 的 驱动 
程序 重新 安装 即 可 。 

(2) 网 卡 设备 与 主机 其 他 设备 有 冲突 ,会 导致 网 卡 无 法 工作 。 

排查 方法 : 磁盘 大 多 附 有 测试 和 设置 网 卡 参数 的 程序 ,分 别 查 验 网 卡 设置 的 接头 类 型 、 
IRQ IO 端口 地 址 等 参数 。 若 有 冲突 ,只 要 重新 设置 (有 些 必须 调整 跳 线 ) ,或 者 更 换 网 卡 
插 槽 ,让 主机 认为 是 新 设备 重新 分 配 系统 资源 参数 ,一般 都 能 使 网 络 恢复 正常 。 

(3) 主机 的 网 络 地 址 参数 设置 不 当 是 常见 的 主机 逻辑 故障 。 比 如 ,主机 配置 的 IP 地 址 
与 其 他 主机 冲突 ,或 IP 地 址 根本 就 不 在 子 网 范围 内 ,这 将 导致 该 主机 不 能 连通 。 

排查 方法 : 在 “网 上 邻居 ”一 “本 地 连接 ”属性 窗口 中 ,查看 TCP/IP 选项 参数 是 否 符合 
要 求 包括 IP 地 址 、 子 网 掩 码 、 网 关 和 DNS 参数 ,进行 修复 。 

(4) 主机 网 络 协议 或 服务 安装 不 当 也 会 出 现 网 络 无 法 连通 。 主 机 安装 的 协议 必须 与 网 
络 上 的 其 他 主机 相 一 致 ,否则 就 会 出 现 协议 不 匹配 ,无 法 正常 通信 ,还 有 一 些 服务 如 “文件 和 
打印 机 共享 服务 ”, 不 安装 会 使 自身 无 法 共享 资源 给 其 他 用 户 ,“ 网 络 客 户 端 服 务 ”, 不 安装 会 
使 自身 无 法 访问 网 络 其 他 用 户 提供 的 共享 资源 。 再 比如 E-mail 服务 器 设置 不 当 导致 不 能 
收发 E-mail, 或 者 域名 服务 器 设置 不 当 将 导致 不 能 解析 域名 等 。 

排查 方法 : 在 “网 上 邻居 ”属性 或 在 “本 地 连接 ”属性 窗口 查看 所 安装 的 协议 是 否 与 其 他 
主机 是 相 一 致 的 ,如 TCP/IP 协议 .NetBEUI 协议 和 IPX/SPX 兼容 协议 等 。 其 次 查看 主机 
所 提供 的 服务 的 相应 服务 程序 是 否 已 安装 ,如 果 未 安装 或 未 选中 ,请 注意 安装 和 选中 之 。 注 
意 有 时 需要 重新 启动 计算 机 ,服务 方 可 正常 工作 。 

(5) 主机 故障 中 另 一 种 可 能 是 主机 安全 故障 。 通 常 包 括 主机 资源 被 盗 .主机 被 黑客 控 
制 .主机 系统 不 稳定 等 。 

排查 方法 : 主机 资源 被 次 ,主机 没有 控制 其 上 的 finger、RPC、,rlogin 等 服务 。 攻 击 者 可 
以 通过 这 些 进程 的 正常 服务 或 漏洞 攻击 该 主机 ,甚至 得 到 管理 员 权 限 ,进而 对 磁盘 所 有 内 容 
有 任意 复制 和 修改 的 权限 。 还 需 注 意 的 是 ,不 要 轻易 地 共享 本 机 硬盘 ,因为 这 将 导致 恶意 攻 
击 者 非法 利用 该 主机 的 资源 。 主 机 被 黑客 控制 ,会 导致 主机 不 受 操纵 者 控制 。 通 常 是 由 于 
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主机 被 安置 了 后 门 程序 所 致 。 发 现 此 类 故障 一 般 比 较 困 难 , 一 般 可 以 通过 监视 主机 的 流量 、 
扫描 主机 端口 和 服务 .安装 防火 墙 和 加 补 系统 补丁 来 防止 可 能 出 现 的 漏洞 。 

主机 系统 不 稳定 ,往往 也 是 由 于 黑客 的 恶意 攻击 ,或 者 主机 感染 病毒 造成 。 通 过 杀毒 软 
件 进 行 查 杀 病 毒 ,排除 病毒 的 可 能 。 或 重新 安装 操作 系统 ,并 安装 最 新 的 操作 系统 的 补丁 程 
序 和 防火 墙 、 防 黑客 软件 和 服务 来 防止 可 能 的 漏洞 的 产生 所 造成 的 恶性 攻击 。 

发 现 主机 故障 是 一 件 比 较 困 难 的 工作 ,特别 是 当 有 人 恶意 进行 攻击 时 。 一 般 可 以 通过 
监视 主机 的 流量 或 扫描 主机 端口 和 提供 的 服务 来 防止 可 能 出 现 的 漏洞 ,同时 对 于 操作 系统 
和 应 用 系统 来 说 ,要 注意 及 时 安装 所 需要 的 补丁 程序 。 当 发 现 主机 受到 攻击 之 后 ,应 立即 分 
析 可 能 出 现 的 漏洞 ,并 加 以 预防 。 


12.3 故障 诊断 和 排除 的 基本 过 程 


12.3.1 故障 诊断 的 一 般 过 程 


故障 诊断 和 排除 的 基本 过 程 首 先 要 确定 网 络 故障 原因 和 位 置 ; 其 次 是 纠正 错误 ,恢复 
网 络 的 正常 运行 ; 最 后 要 总 结 错误 原因 ,改进 网 络 规划 和 配置 以 提高 网 络 的 性 能 。 

故障 诊断 的 一 般 过 程 可 分 为 以 下 三 步 。 

1. 网 络 故 障 问题 记录 与 描述 

在 网 络 运 行 期 间 , 应 记录 网 络 的 运行 状况 。 一 旦 发 生 网 络 故障 ,应 该 了 解 并 记录 网 络 故 
障 表现 出 来 的 现象 。 这 些 现 象 通常 包括 : 哪些 用 户 使 用 网 络 的 哪些 服务 时 出 现 故障 ,是 速 
度 降 低 还 是 不 能 访问 ,是 时 断 时 续 还 是 连续 出 现 故障 ,等 等 。 对 网 络 故障 的 现象 尽 可 能 描述 
详细 。 

2. 网 络 故障 原因 分 析 

在 记录 故障 现象 以 后 ,应 收集 与 网 络 故障 排除 相关 的 信息 ,包括 网 络 的 拓扑 结构 、 网 络 
是 否 发 生 了 改变 ,是否 有 其 他 用 户 使 用 网 络 时 也 发 生 了 故障 ,故障 发 生 期 间 计算 机 在 进行 什 
么 操作 等 ,同时 还 可 以 从 网 络 管理 系统 、 网 络 分 析 设 备 中 收集 相关 信息 。 根 据 收集 到 的 故障 
及 相关 信息 ,分 析 可 能 引起 故障 的 因素 。 

在 故障 原因 分 析 过 程 中 ,应 充分 利用 每 一 条 信息 , 尽 可 能 缩小 引起 网 络 故 障 的 目标 
范围 。 

3. 制订 排除 故障 计划 ,按照 计划 排除 故障 并 记录 

根据 对 网 络 故障 的 分 析 所 确定 的 可 能 故障 点 ,制订 一 整套 完整 的 故障 排除 方案 。 通 常 
应 从 最 容易 引起 故障 的 地 方 人 手 , 或 从 最 低层 次 入 手 ,从 简单 到 复杂 ,逐步 排除 故障 。 

按照 制订 的 方案 ,做 好 每 一 步 的 测试 和 观察 ,并 且 做 好 记录 ,直到 故障 排除 。 如 果 故 障 
没有 排除 ,应 恢复 到 故障 的 原始 状态 ,重新 分 析 。 


12.3.2 分 层 诊 断 技 术 


网 络 体系 结构 的 模型 把 网 络 实现 的 功能 划分 为 不 同 的 逻辑 层次 。 逻 辑 层 次 的 划分 不 但 
减少 了 网 络 的 设计 复杂 性 ,也 为 定位 与 分 析 网 络 的 故障 提供 了 清晰 的 思路 。 

1. 物理 层 故 障 的 查找 和 排除 

计算 机 之 间 数 据 的 传输 在 物理 层 表现 为 比特 的 形式 ,中 继 器 、 集 线 器 等 设备 运行 在 物理 


层 上 。 物 理 层 还 包括 综合 布线 系统 ,以 及 备用 线路 的 连接 设备 和 接口 。 物 理 层 的 故障 主要 
表现 在 设备 出 现 硬 件 故 障 、 线 路 及 节点 的 物理 连接 不 正确 .设备 的 物理 连接 方式 不 正确 等 
方面 。 

1) 电力 故障 

网 络 设备 的 正常 运行 需要 有 符合 其 要 求 的 电力 供应 ,由 于 电力 的 原因 引起 网 络 设备 不 
能 提供 正常 的 服务 ,在 网 络 故障 中 占有 很 大 的 比例 。 例 如 ,电力 功率 不 足 甚至 断 电 导致 网 络 
设备 停止 运行 ; 供电 线路 上 出 现 过 高 的 电 涌 , 以 及 闪电 或 其 他 设备 产生 的 电磁 波 和 射频 干 
扰 都 有 可 能 损坏 网 络 设备 。 

电源 故障 比较 容易 发 现 和 定位 ,一般 的 检查 方法 如 下 

(1) 网 络 设备 都 有 电源 状态 指示 灯 , 如 果 发 现 指示 灯 不 正常 , 那 就 应 该 首先 检查 电力 供 
应 .电源 线 . 设 备 的 电源 开关 是 否 正常 ; 

(2) 如 果 电 源 状态 指示 灯 正 常 , 设 备 的 风扇 没有 正常 运转 , 那 就 应 该 怀疑 设备 内 部 的 交 
直流 转换 模块 或 者 风扇 系统 ; 

(3) 如 果 网 络 设备 在 运行 了 一 段 时 间 后 自动 地 停止 了 运行 , 那 就 怀疑 是 否 是 因为 环境 
的 原因 (如 温度 ,湿度 、 地 线 等 ) ,或 者 电力 线路 的 质量 无 法 满足 设备 运行 的 条 件 。 

2) 传输 线路 故障 

传输 线路 发 生 故 障 , 将 影响 网 络 通信 的 质量 ,甚至 造成 连接 中 断 或 网 络 瘫痪 。 常 见 的 传 
输 介质 包括 同 轴 电缆 、 双 绞 线 ,光纤 等 有 导线 介质 ,以 及 微波 、 激 光 等 无 线 传输 介质 。 目 前 在 
综合 布线 系统 中 使 用 最 广泛 的 是 双 绞 线 和 光纤 。 

当 双 绞 线 被 损坏 ,或 者 其 中 的 线 对 出 现 短路 、 开 路 等 故障 时 ,网 络 将 无 法 通信 。 有 时 网 
络 的 通信 是 可 以 进行 的 ,但 其 性 能 总 是 与 正常 情况 下 的 性 能 差距 较 大 ,如 数据 的 传输 速率 大 
大 低 于 正常 时 的 数据 流速 率 。 这 种 情况 可 能 是 劣质 线 缆 、 连 接 器 或 者 噪声 干扰 的 结果 ,要 诊 
断 和 排除 这 类 故障 需要 采用 线 缆 分 析 仪 来 测试 所 怀疑 的 传输 线 缆 。 测 试 的 内 容 包括 衰减 、 
近 端 串扰 、 回 波 损耗 等 几 个 方面 。 

检查 双 绞 线 的 一 般 步骤 如 下 : 

(1) 检查 双 绞 线 是 否 被 损坏 ,如 果 是 , 则 更 换 新 的 双 绞 线 ; 

(2) 使 用 线 缆 连 通 测试 仪 测试 双 绞 线 是 否 出 现 短路 .开路 等 简单 的 线 缆 故 障 , 如 果 是 ， 
则 更 换 连 接头 ,测试 故障 是 否 修复 ; 如 果 未 修复 , 则 更 换 新 的 双 绞 线 ; 

(3) 如 果 双 绞 线 连通 测试 没有 发 现 故 障 , 检 查 RJ-45 插座 是 否 出 现 故障 ,如 果 是 , 则 更 
换 插座 ; 

(4) 使 用 线 缆 分 析 器 测试 双 绞 线 。 

3) 硬件 故障 

硬件 故障 主要 包括 网 络 设备 硬件 故障 、 集 线 器 或 交换 机 端口 故障 、 网 络 接 口 卡 故障 。 

4) 因 配 置 错误 引起 的 故障 

因 配 置 错误 引起 的 故障 主要 包括 : 串 行 链 路 的 同步 与 异步 .接口 被 关闭 、. 双 工 配置 。 

2. 数据 链 路 层 故 障 的 查找 和 排除 

数据 链 路 层 故 障 的 查找 和 排除 ,检查 连接 端口 的 工作 状况 。 链 路 层 故障 分 析 内 容 包括 : 
数据 链 路 层 的 运行 状况 ,流量 状况 ; 链 路 层 数 据 包 的 丢 包 、 重 发 及 包 碰 撞 情况 ; 网 络 计 算 机 
设备 的 链 路 层 驱动 程序 的 加 载 等 。 
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1) 传输 路 径 与 网 络 性 能 故障 

传输 路 径 和 网 络 性 能 的 问题 是 产生 链 路 层 故障 的 常见 原因 。 由 于 生成 树 算法 缺陷 、 系 
统 配 置 不 合理 等 问题 ,使 得 生成 树 设计 欠 佳 ,导致 帧 在 传输 的 过 程 中 选择 了 一 条 不 合理 的 路 
径 , 并 且 由 于 该 路 径 的 性 能 差 ,造成 严重 的 帧 丢失 和 延 时 。 

2) 封装 类 型 错误 

在 TCP/IP 网 络 中 ,通常 使 用 的 以 太 网 封装 类 型 是 ARPA ,但 在 网 络 间 进行 分 组 交换 的 
环境 中 ,由 于 设置 错误 ,有 可 能 使 链 路 一 端的 封装 类 型 与 远 端 使 用 的 封装 类 型 不 一 致 ,造成 
远 端 设备 接收 到 无 法 识别 的 帧 。 

3) 地 址 解析 错误 

在 数据 链 路 层 , 网 络 层 的 数据 包 将 被 封装 在 帧 中 。 利 用 链 路 层 的 地 址 进行 传输 。 如 何 
确定 链 路 层 的 地 址 由 所 使 用 的 协议 来 决定 。 

实现 将 网 络 层 地 址 映射 到 链 路 层 地 址 的 机 制 有 静态 映射 和 动态 映射 两 种 方式 。 使 用 静 
态 映射 方式 匹配 网 络 层 和 数据 链 路 层 地 址 ,常见 的 错误 是 分 配 和 设置 不 正确 。 动 态 配 置 是 
基于 地 址 解析 协议 (Address Resolution Protocol, ARP) 来 实现 的 ,常见 的 ARP 欺骗 是 造成 
网 络 连 接 频繁 中 断 的 重要 因素 之 一 。 所 谓 ARP 欺骗 ,就 是 通过 大 量 地 伪造 IP 地 址 和 MAC 
地 址 来 干扰 地 址 解析 。 

4) 其 他 

引起 数据 链 路 层 故 障 的 原因 还 包括 : 由 于 噪声 干扰 、 线 缆 长 度 不 合理 及 驱动 程序 缺陷 
等 原因 ,造成 在 发 送 和 接收 帧 的 过 程 中 出 现 太 多 的 循环 元 余 校 验 (CRC) 错 误 和 帧 校 验 序列 
(FCS) 错 误 ; 由 于 相同 的 MAC 地址 在 交换 机 的 不 同 端口 出 现 , 形 成 局 域 网 中 的 网 络 回环 ， 
造成 以 太 网 的 “广播 风暴 ”。 

3. 网 络 层 故障 的 查找 和 排除 

网 络 层 故 障 包 括 与 网 络 层 协议 有 关 的 所 有 问题 ,如 各 种 网 络 设备 的 网 络 层 地 址 的 设置 、 
网 络 层 协议 .路 由 选择 协议 的 加 载 和 设置 等 。 

常见 的 有 IP 地 址 分 配 故障 .静态 路 由 协议 故障 、 动 态 路 由 协议 故障 。 

针对 这 一 类 故障 ,首先 查看 用 户 物 理 层 的 连通 性 。 例 如 ,可 以 让 用 户 检查 网 线 是 否 与 墙 
上 端口 和 设备 相关 。 然 后 可 以 结合 一 些 路 由 器 .交换 机 配置 命令 进行 信息 数据 查看 和 检查 。 

4. 传输 层 故 障 的 查找 和 排除 

诊断 传输 层 的 网 络 故 障 要 比 检查 链 路 层 和 网 络 层 的 故障 困难 , 且 可 用 于 检测 传输 层 故 
障 的 专门 工具 也 很 少 ,网 络 管理 员 必 须 具备 扎实 的 网 络 基础 知识 ,熟悉 传输 层 协 议 的 工作 原 
理 , 应 用 一 些 辅助 工具 ,才能 快速 准确 地 定位 故障 点 ,提高 故障 排查 的 效率 。 

检测 网 络 传输 层 故 障 的 常用 工具 和 方法 如 下 : 

(1) 使 用 Telnet 测试 传输 层 的 连接 情况 ; 

(2) 使 用 端口 扫描 工具 测试 传输 层 的 连接 情况 ; 

(3) 使 用 netstat 测试 传输 层 的 连接 情况 。 

5. 高 层 故 障 的 查找 和 排除 

在 高 层 的 故障 查找 和 排除 中 ,主要 是 对 应 用 层 的 分 析 。 

应 用 层 是 开放 系统 的 最 高 层 ,是 直接 为 应 用 进程 提供 服务 的 。 其 作用 是 在 实现 多 个 系 
统 进程 相互 通信 的 同时 ,完成 一 系列 业务 处 理 所 需 的 服务 。 它 不 仅 要 提供 应 用 进程 所 需 的 


信息 交换 和 和 远 地 操 作 , 而 且 还 要 作为 互相 作用 的 应 用 进程 的 用 户 代理 (User Agent)。 它 的 
主要 任务 是 为 用 户 提供 应 用 的 接口 , 即 提供 不 同 计 算 机 间 的 文件 传送 ,访问 与 管理 ,电子 邮 
件 的 内 容 处 理 , 不 同 计 算 机 通过 网 络 交互 访问 的 虚拟 终端 功能 等 。 

应 用 层 故 障 检查 主要 包括 以 下 几 个 方面 : 

(1) 终端 系统 的 系统 资源 状态 ,如 CPU 内存、 磁盘 利用 、.I/O 系统 .进程 等 ; 

(2) 应 用 程序 对 系统 资源 的 占用 及 调度 管理 ; 

(3) 安全 管理 .用 户 管理 、 文 件 管理 等 高 层 服务 。 

针对 不 同 的 应 用 特点 分 别 采 取 不 同 的 工具 和 方法 ,这 里 不 再 详 述 。 

总 体 而 言 ,故障 排除 具体 思路 是 : 先 询 问 、 观 察 故障 时 间 和 原因 ,然后 动手 检查 硬件 和 
软件 设置 ,动手 (观察 和 检查 ) 则 要 遵循 先 外 (网 间 连 接 ) .后 内 (单机 内 部 ) , 先 硬 (硬件 )、 后 软 
(软件 ) 的 原则 。 此 外 在 故障 检测 和 排除 中 会 使 用 一 些 常用 的 工具 ,比如 万 用 表 、 网 络 电 缆 测 
试 仪 等 ,并 且 会 使 用 一 些 常用 的 网 络 命 令 。 


12.4 网络 故障 诊断 和 维护 的 常用 命令 


网 络 故 障 诊断 时 ,一 般 的 操作 系统 功能 都 可 以 通过 图 形 用 户 接口 (GUD 完 成 ,但 是 ,使 
用 命令 行 完 成 某 些 操作 会 更 容易 操作 ,也 能 更 高 效 地 工作 。 

在 一 般 的 网 络 操作 系统 中 访问 命令 提示 符 的 方法 是 : 打开 “开始 ”菜单 ,然后 选择 “ 运 
行 "命令 并 输入 cmd ,系统 则 打开 命令 提示 符 窗口 。 命 令 提示 符 交 互 并 不 区 分 可 执行 命令 的 
大 小 写 。 同 时 ,对 于 任何 命令 ,可 以 附带 参数 “/?? 获 取 相关 命令 的 帮助 信息 。 


12.4.1 Windows 环境 下 的 ping 命令 


在 网 络 中 ping 是 一 个 十 分 强大 的 TCP/IP 工具 。 它 主要 的 作用 是 用 来 检测 网 络 的 连 
通 情况 和 分 析 网 络 速度 。 

1. ping 命令 的 语法 格式 

ping 命令 的 完整 语法 格式 如 下 : 

ping[ -t][ ~a]l[~ncount][ ~1 size][ ~ f][~iTIL][~-vTOSI[~-r count][ ~ s count][[ ~ j host 

一 list]|[ 一 k host 一 list]][ 一 w timeout]< 目 标 地 址 (IP 或 主机 名 )> 

。-t 一 一 有 这 个 参数 时 , 当 你 ping 一 个 主机 时 系统 就 不 停 地 运行 ping 这 个 命令 ,直到 
按 下 Ctrl 十 C 键 。 

。 -a 一 一 解析 主机 的 NETBIOS 主机 名 ,如 果 想 知道 所 ping 的 计算 机 名 则 要 加 上 这 个 
参数 了 ,一 般 是 在 运用 ping 命令 后 的 第 一 行 就 显示 出 来 。 

。-n count 一 一 定义 用 来 测试 所 发 出 的 测试 包 的 个 数 ,默认 值 为 4。 通 过 这 个 命令 可 以 
自己 定义 发 送 的 个 数 ,对 衡量 网 络 速度 很 有 帮助 ,比如 想 测 试 发 送 20 个 数据 包 的 返 
回 的 平均 时 间 为 多 少 、 最 快 时 间 为 多 少 、 最 慢 时 间 为 多 少 就 可 以 通过 执行 带 有 这 个 
参数 的 命令 获知 。 

。 -llength 一 一 定义 所 发 送 缓冲 区 的 数据 包 的 大 小 ,在 默认 的 情况 下 Windows 的 ping 
发 送 的 数据 包 大 小 为 32B, 也 可 以 自己 定义 ,但 有 一 个 限制 ,就 是 最 大 只 能 发 送 
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65 500B, 超 过 这 个 数 时 ,对方 就 很 有 可 能 因 接收 的 数据 包 太 大 而 死机 ,所 以 微软 公 

司 为 了 解决 这 一 安全 漏洞 而 限制 了 ping 的 数据 包 大 小 。 

{一 一 在 数据 包 中 发 送 “ 不 要 分 段 ” 标 志 , 一 般 所 发 送 的 数据 包 都 会 通过 路 由 分 段 再 
发 送 给 对 方 ,加 上 此 参数 以 后 路 由 就 不 会 再 分 段 处 理 。 

i tt 一 一 指定 TTL 值 在 对 方 的 系统 里 停留 的 时 间 ,此 
运转 情况 的 。 

v tos 一 一 将 “服务 类 型 "字段 设置 为 tos 指定 的 值 。 

r count 一 一 在 “记录 路 由 ”字段 中 记录 传 出 和 返回 数据 包 的 路 由 。 一 般 情 况 下 发 送 
的 数据 包 是 通过 一 个 个 路 由 才 到 达 对 方 的 ,但 到 底 是 经 过 了 哪些 路 由 呢 ? 通过 此 参 
数 就 可 以 设 定 你 想 探 测 经 过 的 路 由 的 个 数 ,不 过 限制 在 了 9 个 ,也 就 是 说 ,你 只 能 跟 
踪 到 9 个 路 由 。 

s count 一 一 利用 count 值 对 应 路 点 数 的 时 间 戳 ,此 参数 和 -r 差不多 ,只 是 这 个 
不 记录 数据 包 返 回 所 经 过 的 路 由 ,最 多 也 只 记录 4 个 。 

j host-list host-list 值 对 应 的 计算 机 列表 路 由 数据 包 。 连 续 计算 机 可 以 被 中 间 
网 关 分 隔 ,IP 允许 的 最 大 数量 为 9。 

k host-list 一 一 host-list 值 对 应 的 计算 机 列表 路 由 数据 包 。 连 
网 关 分 隔 ,IP 允许 的 最 大 数量 为 9 

w timeout 指定 超时 间隔 ,单位 为 毫秒 . 
destination-list 是 指 要 测试 的 主机 名 或 IP 地 址 
ping 命令 的 应 用 


数 同样 是 帮助 你 检查 网 络 


数 


计算 机 不 能 被 中 间 


图 12-1 显示 的 是 ping 命令 的 连通 性 测试 。 一 般 情况 下 ,用 户 可 以 通过 使 用 一 系列 
ping 命令 查找 问题 出 在 什么 地 方 , 或 检验 网 络 运行 的 情况 。 


C:\Documents and Settings\Adninistrator.PL-RSLZOWJURBM9>ping 127-9.9.1 
Pinging 127-B.9.1 with 32 bytes of data: 


Reply fron 127.0.0.1: bytes=32 
Reply fron 127.0.0.1: byt 

Reply fron 127.0.0.1: bytes=32 
Reply fron 127.0.0.1: bytes=32 


1: 
1: 


Ping statistics for 127.9.0 
Packets: Sent = 4。Rece 
pproximai 
Minimum = Gns, Maximun = 


C:\Documents and Settings Adninistrator.PL-RSLZOWJURBM9> 


图 12-1 ping 命令 的 连通 性 测试 


下 面 给 出 一 个 典型 的 检测 顺序 及 对 应 的 可 能 故障 。 

1) ping 127.0. 0. 1 

如 果 测 试 成 功 ,表明 网 卡 `.TCP/IP 协议 的 安装 、IP 地 址 、 子 网 掩 码 的 设置 正常 。 如 果 测 
试 不 成 功 ,表示 TCP/IP 的 安装 或 运行 存在 某 些 最 基本 的 问题 。 

2) ping 本 机 IP 

如 果 测 试 不 成 功 , 则 表示 本 地 配置 或 安装 存在 问题 ,应 当 对 网 络 设备 和 通信 介质 进行 测 
试 、 检 查 并 排除 。 

3) ping 局 域 网 内 其 他 IP 

如 果 测 试 成 功 ,表明 本 地 网 络 中 网 卡 和 载体 运行 正确 。 但 如 果 收 到 0 个 回 送 应 答 ,那么 
表示 子 网 掩 码 不 正确 或 网 卡 配 置 错误 或 电缆 系统 有 问题 。 

4) ping 网 关 IP 

这 个 命令 如 果 应 答 正 确 ,表示 局 域 网 中 的 网 关 路 由 器 正在 运行 并 能 够 做 出 应 答 。 

5) ping 远程 IP 

如 果 收 到 正确 应 答 ,表示 成 功 地 使 用 了 默认 网 关 。 对 于 拨号 上 网 用 户 则 表示 能 够 成 功 
地 访问 Internet 。 

6) ping local host 

local host 是 系统 的 网 络 保留 名 , 它 是 127. 0.0. 1 的 别名 ,每 台 计 算 机 都 应 该 能 够 将 该 
名 字 转 换 成 该 地 址 。 如 果 没有 做 到 这 一 步 , 则 表示 主机 文件 (/windows/host) 中 存在 问题 。 

7) pingwww. sina. com 

对 此 域名 执行 ping 命令 ,计算 机 必须 先 将 域名 转换 成 IP 地 址 ,通常 是 通过 DNS 服务 
器 。 如 果 这 里 出 现 故障 , 则 表示 本 机 DNS 服务 器 的 IP 地 址 配置 不 正确 ,或 DNS 服务 器 有 
障碍 。 如 果 上 面 所 列 出 的 所 有 ping 命令 都 能 正常 运行 ,那么 计算 机 进行 本 地 和 远程 通信 基 
本 上 就 没有 问题 了 。 但 是 ,这 些 命令 的 成 功 并 不 表示 所 有 的 网 络 配置 都 没有 问题 ,例如 , 某 
些 子 网 掩 码 错误 就 可 能 无 法 用 这 些 方法 检测 到 。 


12.4.2 使 用 ipconfig 查看 及 刷新 网 络 配置 


该 命令 用 于 显示 所 有 当前 的 TCP/IP 网 络 配置 值 . 刷 新 动态 主机 配置 协议 (DHCP) 和 
域名 系统 (DNS) 设 置 。 使 用 不 带 参 数 的 ipconfig 命令 可 以 显示 所 有 适配器 的 IP 地 址 、 子 网 
掩 码 .默认 网 关 ,如 图 12-2 所 示 。 

ipconfig 命令 的 语法 格式 : 

ipconfig[ /all] [/renew[ adapter ] [/release[adapter] [/flushdns ] [/displaydns ] [/registerdns ] 

[/showclassidadapter][/setclassidadapter[ classID] 


。 -al 一 一 显示 所 有 适配器 的 完整 TCP/IP 配置 信息 。 在 没有 该 参数 的 情况 下 IPCONFIG 
只 显示 IP 地 址 、 子 网 掩 码 和 各 个 适配器 的 默认 网 关 值 。 适 配器 可 以 代表 物理 接口 
(例如 ,安装 的 网 络 适配器 ) 或 逻辑 接口 (例如 ,拨号 连接 )。 

。 -renew[adapter] 一 一 更 新 所 有 适配器 (如 果 未 指定 适配器 ) ,或 特定 适配器 (如 果 包 
含 了 adapter 参数 ) 的 DHCP 配置 。 该 参数 仅 在 具有 配置 为 自动 获取 IP 地 址 的 网 
卡 的 计算 机 上 可 用 。 要 指定 适配器 名 称 , 请 键入 使 用 不 带 参 数 的 IPCONFIG 命令 
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及 有 1985-2983 Micr 
ic: Documents and Settings\Adninistrator.PL-RSLZOWJURBM9>ipconf ig/all 
Windows IP Configuration 


Host Name - 

Primary Dns Suffix . 

Node Type Unknown 
IP Routing Enabled. No 
WINS Proxy Enable No 

DNS Suffix Search List. . - : pl.com 


Ethernet adapter 本 地 连接 : 


Connection ific DNS Suffi 日 
Descriptio! : IntelCR> PRO/1888 MT Network Connection 
Physical hddr [5 
DHCP Enabled 和 - : No 
IP hddre: 二 - : 192.168-17-199 
Subnet Mask Pe - : 255.255.255.@ 

- : 192.168.17.160 

: 192-168-17-169 


C:\Documents and Settings Administrator.PL-RSLZOWJURBM9> 


图 12-2 ipconfig 命令 查看 图 


显示 的 适配器 名 称 。 
。 -release[adapter] 发 送 DHCP RELEASE 消息 到 DHCP 服务 器 ,以 释放 所 有 适 
配器 (如 果 未 指定 适配器 ) 或 特定 适配器 (如 果 包 含 了 adapter 参数 ) 的 当前 DHCP 
配置 并 丢弃 IP 地 址 配置 。 该 参数 可 以 禁用 配置 为 自动 获取 IP 地 址 的 适配器 的 
TCP/IP。 要 指定 适配器 名 称 , 输 入 使 用 不 带 参数 的 IPCONFIG 命令 显示 的 适配器 
名 称 。 

。 -flushdns 清理 并 重 设 DNS 客户 解析 器 缓存 的 内 容 。 如 有 必要 ,在 DNS 疑难 解 
答 期 间 , 可 以 使 用 本 过 程 从 缓存 中 丢弃 否定 性 缓存 记录 和 任何 其 他 动态 添加 的 
记录 。 

* -displaydns 显示 DNS 客户 解析 器 缓存 的 内 容 , 包 括 从 本 地 主机 文件 预 装载 的 
记录 以 及 由 计算 机 解析 的 名 称 查询 而 最 近 获 得 的 任何 资源 记录 。DNS 客户 服务 在 
查询 配置 的 DNS 服务 器 之 前 使 用 这 些 信息 快 速 解析 被 频繁 查询 的 名 称 。 

。 -registerdns 初始 化 计算 机 上 配置 的 DNS 名 称 和 IP 地 址 的 手工 动态 注册 。 可 
以 使 用 该 参数 对 失败 的 DNS 名 称 注册 进行 疑难 解答 或 解决 客户 和 DNS 服务 器 之 
间 的 动态 更 新 问题 ,而 不 必 重 新 启动 客户 计算 机 。TCP/IP 协议 高 级 属性 中 的 DNS 
设置 可 以 确定 DNS 中 注册 了 哪些 名 称 。 

。 -showclassid adapter 显示 指定 适配器 的 DHCP 类 We ID。 要 查看 所 有 适配器 的 
DHCP 类 别 ID ,可 以 使 用 星 号 (* ) 通 配 符 代 替 adapter。 参数 仅 在 具有 配置 为 自 
动 获取 IP 地 址 的 网 卡 的 计算 机 上 可 用 。 

。 -setclassid adapter[classID] 配置 特定 适配器 的 DHCP 类 别 ID。 要 设置 所 有 适 
配器 的 DHCP 类 别 ID, 可 以 使 用 星 号 (* ) 通 配 符 代替 adapter。 该 参数 仅 在 具有 配 
置 为 自动 获取 IP 地 址 的 网 卡 的 计算 机 上 可 用 。 如 果 未 指定 DHCP 类 别 的 ID , 则 会 
删除 当前 类 别 的 ID。 


12.4.3 使 用 netstat 显示 连接 统计 


netstat 用 于 显示 与 IP、TCP、UDP 和 ICMP 协议 相关 的 统计 数据 ,一 般 用 于 检验 本 机 
各 端口 的 网 络 连 接 情况 ,如 图 12-3 所 示 。 


C: WINDOWS\systes32\cnd exe 


Address Pei State 

芝 LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


加 加 加 


0: 
-@ 
-0 
-8 
-@ 
-8 
-8 
-@ 
-0 
-0 
-0 
-0 
-8 
0: 


ssessssse 


SOOOSOOOO 
Se 


图 12-3 netstat 命令 查看 图 


netstat 命令 的 语法 格式 : 
netstat [~a] [-bl][-el[-nl[-o]l[-pprotol[-zr]l[-s][-v] [interval] 


。 -a 显示 所 有 连接 和 监听 端口 。 

。-b 显示 包含 于 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 在 某 些 情 况 下 已 知 可 
执行 组 件 拥有 多 个 独立 组 件 , 并 且 在 这 些 情况 下 包含 于 创建 连接 或 监听 端口 的 组 件 
序列 被 显示 。 这 种 情况 下 ,可 执行 组 件 名 在 底部 的 [] 中 ,顶部 是 其 调用 的 组 件 , 等 
等 ,直到 TCP/IP 部 分 。 注 意 此 选项 可 能 需要 很 长 时 间 , 如 果 没 有 足够 权限 可 能 
失败 。 

。 -e 显示 以 太 网 统计 信息 。 此 选项 可 以 与 -s 选项 组 合 使 用 。 

。 -nn 以 数字 形式 显示 地 址 和 端口 号 。 

。 -0 显示 与 每 个 连接 相关 的 所 属 进程 ID。 

。 -p proto 显示 proto 指定 的 ds 议 的 连接 ; proto 可 以 是 下 列 协 议 之 一 : TCP、 
UDP、TCPv6 或 UDPv6。 如 果 与 -s 选项 一 起 使 用 以 显示 按 协议 统计 信息 ,proto 可 
以 是 下 列 协议 之 一 : IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 

。 -了 一 一 显示 路 由 表 。 

。 -s 一 一 显示 按 协议 统计 信息 。 默 认 地 ,显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、 
UDP 和 UDPv6 的 统计 信息 ; -p 选项 用 于 指定 默认 情况 的 子 集 。 

。 -v 一 一 与 -b 关 和 和 和 呈 未 因 直 二 大 在 可 堪 旨 伯 基业 和 接 或 监听 端口 
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的 组 件 。 

。 -interval 一 一 重新 显示 选 定 统计 信息 ,每 次 显示 之 间 和 暂停 时 间 间 隔 ( 以 秒 计 )。 按 
Ctrl 二 C 组 合 键 停止 重新 显示 统计 信息 。 如 果 省 略 ,netstat 显示 当前 配置 信息 (只 
显示 一 次 ) 。 


12.4.4 使 用 tracert 跟踪 网 络 路 由 连接 


tracert 命令 主要 用 来 显示 数据 包 到 达 目 的 主机 所 经 过 的 路 径 。 通 过 执行 一 个 tracert 
命令 之 后 ,显示 结果 返回 数据 包 到 达 目 的 主机 前 所 经 历 的 路 径 详 细 信息 ,并 显示 到 达 每 个 路 
径 所 消耗 的 时 间 。 

这 个 命令 同 ping 命令 类 似 ,但 它 所 看 到 的 信息 要 比 ping 命令 详细 得 多 , 它 能 反馈 显示 
送出 的 到 某 一 站 点 的 请 求 数据 包 所 经 过 的 路 由 ,以 及 通过 该 路 由 的 IP 地 址 ,通过 该 IP 的 时 
间 是 多 少 , 如 图 12-4 所 示 。 


C:\Documents and Settings\Adninistrator.PL-RSLZOWUJURBM9>tracert 127.0.0.1 


Tracing route to pl-rs jurbm9 -pl1-com [127-9-98-1] 
lover a maximum of 30 h 


1 《1 ms 《1 ms 《1 ms pl-rslzowjurbm9-pl-com [127-8.8.1] 


Trace complete. 


图 12-4 ”tracert 命令 查看 图 
tracert 命令 的 语法 格式 为 : 
tracert [~-d] [ -hmaximum hops] [~ jcomputer ~list] [一 wtimeout] target_name 


。-d 指定 不 将 地 址 解析 为 计算 机 名 。 
*， -h maximum_hops 指定 搜索 目标 的 最 大 跃 点 数 。 


。 -j computer-list 指定 沿 computer-list 的 稀 玲 源 路 由 。 
。 -w timeout 每 次 应 答 等 待 timeout 指定 的 微 秒 数 。 


*» target_name 目标 计算 机 的 名 称 。 
12.5 应 用 案例 : 常见 的 局 域 网 故障 


12.5.1 案例 疹 景 


下 面 以 本 章 一 开始 的 网 络 故障 为 例 。 假 设 你 是 DHY 公司 的 一 名 网 络 管理 员 。 整 个 
DHY 公司 的 内 部 构成 了 一 个 大 的 局 域 网 ,所 有 的 计算 机 通过 这 个 局 域 网 接 人 到 Internet。 
每 台 计 算 机 通过 双 绞 线 连 网 卡 接 到 交换 机 ,所 有 的 交换 机 都 接 入 企业 的 路 由 器 。 现 在 你 接 
到 某 部 门 里 有 人 说 自己 的 计算 机 无 法 上 网 的 投诉 。 


12.5.2 案例 分 析 和 实施 


根据 之 前 所 学 的 知识 ,可 以 按照 以 下 几 个 步骤 进行 : 

(1) 检测 本 机 中 TCP/IP 协议 是 否 安装 正确 。 

可 以 用 ping 127. 0.0. 1 或 ping localhost, 进 行 环 回 测试 。 如 果 不 通 ,原因 可 能 是 本 机 
没有 安装 TCP/IP 协议 ,或 TCP/IP 协议 安装 不 正确 ,或 协议 出 现 故障 。 此 时 可 以 重新 安装 
TCP/IP 协议 。 

安装 步 又: 在 “本 地 连接 ”一 “属性 ”中 ,选中 “Internet 协议 (TCP/IP)” 复 选 框 , 单 击 下 面 
的 “外 载 ?按钮 ,如 图 12-5 所 示 。 


十 本 地 连接 尾 性 


口 电量 crosoft 网 络 的 文件 和 打印 机 共享 
口 闻 网 络 监视 器 驱动 程序 
回 号 Internet 协议 (CP/IP) 


12-5 印 载 TCP/IP 协议 


印 载 后 ,需要 重新 启动 计算 机 ,重新 安装 TCP/IP 协议 并 测试 。 经 过 以 上 操作 ,测试 后 
仍 不 能 通过 , 则 可 能 是 操作 系统 安装 不 正确 ,需要 重新 安装 操作 系统 。 

(2) 检测 本 机 的 TCP/IP 协议 配置 网卡 的 安装 及 配置 是 否 正确 。 

ping 本 机 IP 地 址 ,如 果 不 通 , 则 可 能 是 本 机 的 TCP/IP 协议 配置 不 正确 或 者 是 网 卡 的 
安装 .配置 不 正确 ; 还 有 一 种 可 能 , 即 IP 地 址 冲突 ,在 同一 网 络 中 如 果 有 两 台 计 算 机 有 相同 
的 IP 地址 则 也 会 出 现 这 种 情形 。 

对 于 此 故障 可 以 先 断 开 网 络 连接 ,然后 按 以 下 步骤 进行 测试 : 检查 TCP/IP 协议 的 配 
置 ,按照 网 络 管理 员 的 安排 设置 TCP/IP 协议 参数 ,重新 测试 ; 检查 网 卡 的 安装 与 配置 ,在 
“设备 管理 器 ”窗口 中 查看 网 卡 的 基本 情况 。 若 网 卡 前 带 有 黄色 的 问号 (?) 或 黄色 的 叹 号 
(1) , 则 表明 网 卡 安装 不 正确 ,可 能 是 网 卡 的 驱动 程序 没有 安装 正确 ,或 者 是 网 卡 与 其 他 硬件 
出 现 了 硬件 资源 冲突 ,如 图 12-6 所 示 。 

出 现 以 上 故障 后 ,首先 应 该 在 Windows 2003 的 “设备 管理 器 ”窗口 中 选中 网 卡 , 右 击 ， 
在 出 现 的 快捷 菜单 中 选择 * 印 载 "命令 项 卸载 该 网 卡 ,如 图 12-7 所 示 。 然 后 重新 启动 计算 | 12 
机 ,或 选择 “扫描 测试 硬件 改动 ”项 ,重新 安装 驱动 程序 。 章 
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PL-RSLZOWJURBNG 
困 - 坊 DYD/CD-RON 驱动 器 
由 哆 IDE MMATAPI 控制 器 


12-7 网卡 印 载 示意 图 


如 果 以 上 方法 均 不 能 排除 网 卡 故障 , 则 可 能 是 网 卡 本 身 出 现 了 物理 故障 ,可 以 尝试 更 换 
网 卡 。 

排除 了 网 卡 及 协议 配置 故障 ,ping 本 机 IP 地 址 就 可 以 得 到 正确 的 应 答 。 连 接 本 机 到 
交换 机 ,再 进行 同样 的 测试 ,如 果 没 有 正确 的 应 答 , 则 可 能 是 IP 地 址 发 生 了 冲突 ,此 问题 通 
过 重新 配置 IP 地 址 来 解决 。 


(3) 检测 网 络 连 接 是 否 正确 。 
ping 同一 网 络 中 的 其 他 计算 机 ,如 果 没 有 收 到 正确 的 应 答 , 则 可 能 是 本 机 到 本 局 域 网 
连接 设备 (交换 机 、HUB) 的 连接 电缆 出 现 了 故障 ,或 者 网 络 TCP/IP 协议 配置 参数 (IP 地 
址 、 子 网 掩 码 ) 不 正确 ,或 者 是 交换 机 等 设备 的 配置 有 问题 。 
此 问题 可 以 按 以 下 方法 进行 操作 : 
。 比较 两 台 计 算 机 的 IP 地 址 及 子 网 掩 码 参 数 ,判断 两 台 计 算 机 是 否 在 同一 子 网 内 。 
如 果 不 是 , 则 修改 配置 ,保证 连接 到 交换 机 的 计算 机 属于 同一 子 网 。 
。 用 测试 仪 测试 计算 机 到 交换 机 的 连接 电缆 ,必要 时 更 换 电缆 ,保证 电缆 的 连接 是 完 
好 的 。 
。 检查 交换 机 的 配置 ,或 者 更 换 所 连接 的 交换 机 的 端口 。 
(4) 检测 本 地 路 由 器 的 连接 及 默认 网 关 的 配置 是 否 正确 。 
主要 包括 以 下 测试 内 容 : 
。 ping 默认 网 关 IP 地 址 ,如 果 能 连通 , 则 表明 本 地 局 域 网 到 路 由 器 的 连接 没有 问题 。 
如 果 不 通 ,可 以 检查 本 地 局 域 网 设备 到 路 由 器 的 连接 电缆 ; 检查 本 机 中 的 默认 网 关 
的 配置 与 路 由 器 的 配置 是 否 一 致 ,如 果 不 一 致 , 则 修改 配置 。 
。 ping 远程 计算 机 IP 地 址 ,如 果 不 通 ,可 能 是 路 由 器 配置 不 正确 、 路 由 器 到 Internet 
的 连接 或 配置 存在 问题 ,或 者 远程 计算 机 不 能 正常 工作 ,这 些 故 障 通 常 通过 检查 路 
由 器 的 配置 进行 维护 。 
。 ping 远程 主机 主机 名 ,如 果 ping 远程 主机 的 IP 地 址 能 收 到 对 方 的 应 答 ,而 ping 远 
程 主机 名 没有 应 答 , 则 可 能 是 本 机 DNS 服务 器 IP 地 址 配置 不 正确 或 本 机 DNS 服 
务 器 出 现 故障 ,可 以 检查 TCP/IP 协议 配置 中 的 DNS 服务 器 设置 是 否 正 确 , 也 可 以 
用 ping 本 地 DNS 服务 器 测试 到 本 地 DNS 服务 器 连接 是 否 正 常 或 本 地 DNS 服务 
器 是 否 工作 。 
通过 以 上 基本 步骤 ,可 以 检测 并 排除 本 地 计算 机 的 网 络 故障 。 如 果 本 地 局 域 网 经 过 排 
查 没有 问题 , 仍 连 不 上 互联 网 ,那么 要 及 时 联系 Internet 服务 供应 商 , 进 行 问题 的 报修 和 接 
入 网 络 的 检查 。 


12.6 练习 案例 


1. 案例 背景 

假设 你 为 DHY 公司 的 一 名 网 络 管理 员 。 某 部 门 的 员工 最 近 投 诉说 : 在 使 用 计算 机 联 
网 的 时 候 ,会 看 到 这 样 的 提示 “IP 与 其 他 系统 冲突 ”, 他 不 知道 如 何 解决 。 请 你 帮 他 分 析 问 
题 ,并 尝试 解决 这 个 问题 。 

2. 相关 知识 

对 于 在 Internet 和 Intranet 网 络 上 ,使 用 TCP/IP 时 每 台 主 机 必须 具有 独立 的 IP 地 
址 ,有 了 IP 地 址 的 主机 才能 与 网 络 上 的 其 他 主机 进行 通信 。 如 果 在 局 域 网 中 使 用 静态 IP 
地 址 分 配 策略 ,就 很 容易 出 现 IP 地 址 冲突 的 问题 。IP 地 址 冲突 会 造成 网 络 客户 不 能 正常 
工作 ,同时 ,使 用 Windows 系列 操作 系统 的 机 器 ,如 果 网 络 上 存在 冲突 的 机 器 ,只 要 电源 打 
开 , 在 客户 机 上 都 会 频繁 出 现 IP 地 址 冲突 的 提示 。 造 成 IP 地 址 冲突 的 原因 有 如 下 几 种 


网 络 开 辜 诊断 和 排除 


网 络 系 统 营 理 


情况 : 
(1) 用 户 对 TCP/IP 并 不 了 解 , 不 知道 *IP 地址 ”“ 子 网 掩 码 ”“ 默 认 网 关 ” 等 参数 如 何 
设置 ,有 时 用 户 不 是 从 管理 员 处 得 到 的 上 述 参 数 的 信息 ,或 者 是 用 户 无 意 修改 了 这 些 信息 。 
(2) 管理 员 或 用 户 根据 管理 员 提 供 的 上 述 参 数 进 行 设置 时 ,由 于 失误 造成 参数 输入 
错误 。 
(3) 在 客户 机 维修 调试 时 ,维修 人 员 使 用 临时 IP 地 址 应 用 造成 。 
(4) 有 人 从 用 他 人 的 IP 地 址 。 
3. 解 题 思路 
可 以 从 DHCP 和 MAC 地 址 绑 定 两 方面 着 手 ,进行 问题 分 析 以 及 问题 的 解决 。 


12.7 课 后 习题 


1. 简 述 网 络 故障 的 基本 分 类 。 

2. 网 络 故障 管理 中 ,故障 诊断 的 一 般 步 又 有 哪些 ? 

3. 使 用 常用 的 网 络 命令 填空 。 

返回 数据 包 到 达 目 的 主机 所 经 过 的 中 间 节 点 的 信息 ,通常 使 用 ( ) 命 令 ; 确定 本 地 
主机 与 男 一 主机 的 连通 性 ,通常 使 用 ( ) 命 令 ; 帮助 网 络 管理 员 了 解 网 络 的 协议 状态 统 
计 情 况 ,通常 使 用 ( ) 命 令 ; 用 来 显示 本 计算 机 当前 所 有 的 TCP/IP 网 络 配置 值 ,通常 使 
用 ( ) 命 令 。 

4. 说 明 下 列 命令 的 含义 : 

(1) ping -a -n5202.117.128.2 

(2) tracert — d www.xjtu.edu. cn 


(3) netstat 一 p tcp 
(4) ipconfig /renew 


5 练习 使 用 分 层 定位 分 析 法 来 解决 网 络 故障 。 
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